SlideShare ist ein Scribd-Unternehmen logo

Alessandro Canella - convegno privacy - 23 Marzo 2004

Alessandro Canella
Alessandro Canella

Cleaned of copyrighted graphics and logos, my SlideShow used for Data Protection Law conventions in Chamber of Commerce of Ferrara and Cento

Business
1 von 27
Le misure minime di sicurezza dei dati e dei sistemi IT: adempimenti organizzativi e tecnici Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
Gli attacchi informatici, storia, modalità e tipologia del rischio Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunità del “nostro” sistema informatico Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualità La necessità di migliorare sempre la qualità del servizio all’utenza della nostra azienda passa anche per una organizzazione globale dei sistemi informativi La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato Punti di contatto tra gli intenti del management di un’azienda moderna e il legislatore
Gli attacchi informatici, storia, modalità e tipologia del rischio
Secondo l’Information Technology Security Evaluation Criteria, standard europeo di sicurezza, sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando è in grado di garantire il soddisfacimento delle proprietà di: confidenzialità integrità disponibilità È quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in: 1) La sicurezza è direttamente proporzionale alla disponibilità di un sistema informatico 2) Un senso di falsa sicurezza è più dannoso di una consapevole insicurezza 3) Non e` questione di “se”, ma di “quando” si presenterà il danno e di “quanto tempo” si avra`per limitare i danni. 4) Non esiste sicurezza assoluta. Cos’è un sistema informatico sicuro? Le informazioni devono essere disponibili solo agli interessati I dati devono essere integri per poter effettuare elaborazioni attendibili Il sistema informatico in deve garantire la massima funzionalità percentuale
Cosa mette a repentaglio la sicurezza del sistema? Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialità, integrità, disponibilità devono sempre essere garantite. A parità di qualità degli applicativi e dei calcolatori che usiamo, è compito dei sistemisti trovare ed applicare soluzioni che possano maggiormente garantire il rispetto dell’enunciato precedente. Il prezzo da pagare non può essere considerato ininfluente : al giorno d’oggi gran parte del business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei dati non integri va di pari passo con il fornire un servizio non adeguato all’utenza. $ = 
Cosa mette a repentaglio la sicurezza del sistema? I PC client rappresentano un anello importante nella catena della sicurezza, e i casi di violazione aumento a una velocità allarmante. Solo nel 2002, la società londinese Mi2g quantifica in 7 miliardi di dollari il danno derivante da attacchi digitali dolosi a livello mondiale (Mi2G “Economic damage from Digital Risk Stablishing”, 22 ottobre 2002). Catania - La Guardia di Finanza di Catania scopre pirati informatici che su Internet, accedendo illegittimamente alla rete telematica dell'università catanese, violavano sistemi informatici di enti pubblici, banche e società private italiane ed estere. Sono state denunciate sette persone (Il Giorno, 11/02/2000) Imprese sempre più nel mirino dei virus: in 20 mesi oltre un milione di casi Venti mesi di “osservazione”, oltre un milione di casi accertati. Questo il risultato d’una ricerca – la più completa, probabilmente, fin qui condotta sul problema delle infezioni on line – effettuata dalla ICSA Laboratories (una divisione della TruSecure, azienda specializzata nella sicurezza on line) su un campione di 300 imprese americane, nell’arco di tempo che va dal gennaio del 200 all’agosto del 2001. La ricerca, commissionata da una serie di corporazioni, ha rilevato una media mensile di 113 “incontri” – come vengono definite le scoperte di virus – ogni mille macchine. Nel 1996, quando questo tipo di studio era stato effettuato per la prima volta, gli incontri erano stati 20 ogni mille macchine. Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e là intercalati da istanti di panico’.(Information Security Magazine) TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi piùefficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003) ATTACCHI E VIOLAZIONI ALLA SICUREZZA SONO COSTATI ALLE AZIENDE 378 MILIONI DI DOLLARI NEL 2000 (da un rapporto dell’FBI)
Ma ci sono casistiche che possono preoccupare effettivamente? Il 78% delle aziende e degli enti italiani è vittima di un attacco al proprio sistema operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo anno, nonostante il 95% di queste avesse un sistema di protezione" Sempre più spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi interni, un dato in contraddizione con i risultati del rilevamento precedente. Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di trasporti, assicurazioni, società di telecomunicazioni e banche (Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del Ministero delle Attività Produttive)
In un periodo particolare della mia vita, a nemmeno 20 anni, decisi di fare un "raid". Quasi 50 sistemi informatici […], furono violati. Nomi famosi, tra questi sistemi: Ente Nazionale Energia Alternativa, Consiglio Nazionale delle Ricerche, case farmaceutiche di fama mondiale, compagnie telefoniche americane ed europee, la Banca d'Italia. Il gioco non era piu' tale, si era fatto pesante e io non lo sapevo e un giorno venni arrestato per reati di natura informatica. […] La Falange Armata ce la siamo inventata per farci pubblicità, in realtà la nostra unica vera attività illecita è stata quella di utilizzare numeri di carte di credito […] Ma perché dovrebbero prendersela con la nostra azienda? Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione. Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di molto. D'altra parte era facilissimo, in alcune di queste aziende le password (parole chiave per entrare in un sistema) erano "prova", "Pippo" oppure "Maria” […] Quando cercavo lavoro, mi sono proposto alla Fiat per curargli la sicurezza del sistema informatico", racconta poi Raoul. "Mi hanno detto che non ne avevano bisogno. Quella sera stessa ho verificato che non era così". ( Raoul Chiesa “nobody”, ex hacker, esperto di sicurezza informatica
ESTERNO AZIENDA volontarie/fraudolente volontarie/casuali volontarie/fraudolente involontarie/casuali rivalsa spionaggio hacker spionaggio errore umano calamità script kiddies lamer D.O.S. D.D.O.S. ROOTKIT TROJAN SCRIPT HACKTOOL WORM ??? DELETE COPY D.O.S. TROJAN VIRUS P2P GUASTi ??? dati ??? ??? A quali tipi di rischi siamo normalmente esposti? INTERNO AZIENDA
26,3 22,6 19,7 14,4 7,3 6,7 5,2 2 1,7 1,7 0,8 0,6 0,6 0,3 0,3 virus perdit a servizi essenziali guast i errori ut ilizzo errori concet t uali furt i event i nat urali at t acchi logici incident i fisici frodi at t i denigrat ori divulgazione di dat i sabot aggi int rusioni est orsioni Ci sono tipologie del rischio da sottovalutare?? Fonte : Clusif “étude et statistique sur la sinistralité informatique en France 2002”
Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualità
La sicurezza informatica, è oggi necessaria? Analizziamo innanzitutto gli impatti possibili su una azienda : Tangibili - perdita di dati, rilavorazione dei medesimi - utilizzo di dati non corretti nelle procedure aziendali - fermo sistemi e fermo lavorazione (compresa la produttività del personale non IT) - costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento - costi di lavoro per la raccolta informazioni relative all’accertamento della responsabilità Intangibili - utilizzo di dati propri da parte di terzi per marketing, perdita di clienti - perdita dell’eventuale esclusivo know-how economico e industriale - danno di immagine e perdita di fiducia dei clienti - responsabilità per danni involontari a terzi Quale e perché dovrebbe essere il nostro comportamento?
1. Identificazione degli elementi da proteggere 2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti 3. Analisi dei rischi Questi step sono meglio identificati sotto il nome di “analisi del rischio”, l’analisi del rischio serve a individuare i rischi cui si è sottoposti ed è necessaria per poter valutare quali tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e qualitative VALORE basso medio alto RISCHIO basso       medio       alto       Come Procedere? Analisi qualitativa Rischio = (valore del bene) X (fattore di esposizione) X (frequenza di accadimento) Analisi quantitativa
Come Procedere? SERVER ACCESS POINT CLIENT  BACKUP  INTERNAL NETWORK  L’analisi del rischio, produrrà una tabella contenente questi elementi, ed evidenzieremo per ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la procedura adeguata VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
4. Analisi costi-benefici 5. Piano operativo 6. Regole comportamentali 7. Procedura di gestione degli incidenti Trovate le singole criticità e le relative protezioni, analizzeremo i costi-benefici perché se è vero che la sicurezza non è mai troppa, è anche vero che ogni azienda ha una sua dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo sarà costituito da questi due fattori: un’insieme omogeneo fra sistemi tecnologici e procedure comportamentali. Come Procedere? SERVER ACCESS POINT CLIENT  BACKUP  INTERNAL NETWORK VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
Ricostruendo l’analisi sin qui effettuata, analizziamo le richieste di legge L’adozione di misure minime di sicurezza : “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31”(rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta) - I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali. - I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. - Il trattamento dei dati è consentito solo se: - sono adottate le misure minime di sicurezza individuate dal Codice - le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B) Effettivamente cosa ci richiede la legge 196?
Misure individuate dall’art. 34 del codice - Autenticazione informatica - Procedure di gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione - Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici - Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti - Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi - Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) - Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari Effettivamente cosa ci richiede la legge 196?
Misure individuate dall’allegato B - Il trattamento dei dati è consentito solo agli - incaricati dotati di credenziali di autenticazione (username + password; dispositivo elettronico di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave) - È prevista una gestione dei codici identificativi (username): - I criteri di definizione e assegnazione comprendono: individualità non riutilizzabilità - È prevista una validità temporale (disattivazione per mancato utilizzo – o per perdita qualità) - È prevista una gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) - Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di custodia Effettivamente cosa ci richiede la legge 196?
Misure individuate dall’allegato B - Ad ogni incaricato possono essere associate una o più credenziali - Il titolare dovrà fornire agli incaricati precise istruzioni riguardanti: la gestione e conservazione delle credenziali di autenticazione la custodia dei dispositivi in possesso e uso esclusivo dell’incaricato la gestione e custodia dello strumento elettronico durante le sessioni di trattamento - Deve esserci individuazione puntuale delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale - Profili di autorizzazione (per ciascun incaricato o per classi omogenee): - Sono previsti criteri di individuazione preventiva - Sono previste verifiche periodiche (almeno ogni anno) - Sono previsti criteri di revoca Effettivamente cosa ci richiede la legge 196?
Altre Misure - Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati - installazione e aggiornamento software antivirus (almeno ogni 6 mesi) - aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) - istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale) Ulteriori misure in caso di trattamento dati sensibili - sono previste - istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili - istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute - adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (con un massimo di 7 giorni) - Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico Effettivamente cosa ci richiede la legge 196?
RICHIESTE DI LEGGE PROCEDURE STANDARD A GARANZIA DELLA QUALITA’ DEI SISTEMI Quale dovrebbe essere in sintesi il nostro piano di attuazione? EFFETTIVO PIANO DI GESTIONE DEL SISTEMA
Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge, idealmente includeremmo: - Un sistema di autenticazione per l’accesso ai dati, gestione di password ai differenti sistemi - L’aggiornamento periodico dell’individuazione dell’ambito un sistema di procedure di gestione delle responsabilità e degli accessi - La protezione degli strumenti elettronici e dei dati, un antivirus con gestione degli aggiornamenti e degli alerting, policy di utilizzo - L’ adozione di procedure per la custodia di copie di sicurezza, con garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri) - La tenuta di un aggiornato documento programmatico sulla sicurezza, che possa garantire l’aggiornamento progettuale ed attuativo - Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalità di contenimento dei rischi Ma l’effettivo impegno profuso, in cosa si concretizza?
- I dati personali sono protetti contro il rischio di intrusione un sistema firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting - L’ adozione di tecniche di cifratura o di codici identificativi con gestione di chiavi crittografiche - Gli aggiornamenti periodici dei programmi per elaboratore un sistema di update dei sistemi operativi e dei software. - Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori controllo del medesimo - I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili - Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati un contingency plan che comprenda il restore dei dati e dei sistemi, proceduralizzato per poter essere attuato in tempi ristrettissimi Ma l’effettivo impegno profuso, in cosa si concretizza?
No, l’applicazione della legge sulla privacy, prefigura anche: - Redazione di documentazione sulle effettive responsabilità di gestione ed utilizzo nomina del titolare nomina del responsabile nomina degli incaricati elenco accessi ai diversi sistemi, natura e modalità dell’autenticazione - Redazione di documentazione sulla configurazione software dei sistemi elenco attrezzature elenco software checklist di sicurezza - Redazione di documentazione sulla configurazione dei sistemi di protezione del sistema informatico elenco dei sistemi di sicurezza, modalità di mantenimento, controllo ed aggiornamento procedure sulla modalità di esecuzione e gestione dei salvataggi procedure di ripartenza dei sistemi e di gestione delle emergenze Tutta questa documentazione deve essere redatta in maniera armonica ed integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed inclusa nel documento programmatico sulla sicurezza. Pertanto una mera applicazione di software e capacita progettuali?
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA AAAAAAAAAADgAA8BCwEAAAAEAAAAcgAAAAAAAAAgAQAAEAAAACAAAAAAQAAAEAAAAAIAAAQA AAAAAAAABAAAAAAAAAAAMAEAAAQAAAAAAAACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAA AAAAAAAAAAD0IAEAawAAAACwAABobQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAdAAAAACgAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAA AADgAADAAAAAAHRhAAAAcAAAALAAAHRvAAAABAAAAAAAAAAAAAAAAAAA4AAAwAAAAABhAAAA ABAAAAAgAQAAAgAAAAIAAAAAAAAAAAAAAAAAAOAAAMAFBAYEAQDOIUAAAgAAQAAAAG4AAAAM AAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAAC70AFAAL8AEEAAviwcQQBT6AoAAAAC0nUFihZG EtLD/LKApGoCW/8UJHP3M8n/FCRzGDPA/xQkcyGzAkGwEP8UJBLAc/l1P6rr3OhDAAAAK8t1 EOg4AAAA6yis0eh0QRPJ6xyRSMHgCKzoIgAAAD0AfQAAcwqA/AVzBoP4f3cCQUGVi8WzAVaL 9yvw86Re65YzyUH/VCQEE8n/VCQEcvTDX1sPtztPdAhPdBPB5wzrB4t7AleDwwRDQ+lR//// X7soIUEAR4s3r1f/E5UzwK51/f4PdO/+D3UGR/83r+sJ/g8PhKLw/v9XVf9TBAkGrXXbi+zD HCEBAAAAAAAAAAAANCEBACghAQAAAAAAAAAAAAAAAAAAAAAAAAAAAEAhAQBOIQEAAAAAAEAh AQBOIQEAAAAAAEtFUk5FTDMyLmRsbAAATG9hZExpYnJhcnlBAABHZXRQcm9jQWRkcmVzcwDr AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAEAAgAYAQCAKAAAgAMAAABAAACADgAAAGAAAIAAAAAAAAAAAAAAAAAAAAEA ZQAAAHgAAIAAAAAAAAAAAAAAAAAAAAIAAQAAAJAAAIACAAAAqAAAgAAAAAAAAAAAAAAAAAEA AAAmAQCAwAAAgAAAAAAAAAAAAAAAAAAAAQAHBAAA2AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA 6AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA+AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAACAEAADCx AAAAaAAAAAAAAAAAAABEGQEA6AIAAAAAAAAAAAAAMEAAACgBAAAAAAAAAAAAADAZAQAiAAAA AAAAAAAAAAAGAEIASQBOAEEAUgBZAAEAMAAAAAAAAABrfWaFlBWtHdaU3cSJ5jkxSa21WPCT lzJZK9HA/RaOTkibC/U7SahjXd4/321otIeaqs3c98FEgSkIG0C6ODBOmsur3t5wGFBqh50K ds6TPEgjC6CdNZN7rjIV8vVYEeYEudN7R75kOiMW8iMOucg+gAgTXuypw1pQ+ca7eliihvH+ BKZOhikSH0oRAfDprm0Vh687q8QC/ZmshNoRyjjQjMemK1iKjEvkj8KBP4/d0gQrjoViQVpc RCQCofUL//pjNEcThyvQrFIhYOB29tPY/yF8mWd97Pk/bNiiP2WUW+j2DTqnFxOp9dMi6sWw nvjkyggxsi4BkiGP2II4tZ6x1rLKgUZ8XsW+9S/Ji25/hCze1WlfWwiU3UCXYzryPnJEh8or O18rjsHmyS6iSx58HvJ7SFS2KoUB065NYMOkJXQG7YFuOKmLZz6kIEHBlhsaL6fX2L2O7wDx 9kimzvhSeVIJise//UQYlGGngOYO+cK8/R3Dtl1ZsiPgXbQvX4G3M5dPL2tRQT3SqssXE6+c RPIrIgjovkwjDS+TuzwDO5ZxT9aMdcoLPL4mlf+QoY4aadfuOJzaTxc8hPOBOwwHftPYKcgl kil/IX4MHqULV82GzO85GtjqghWLg/Nnom7XI9tQycfRI2zCWjldmhV9ZjpG/XWq4UW4lJ05 +Tfr9wlX/1F596yCbQlgIqSy6YqsI1pPUpQdCV0IQVk8whLKDtufVb7pUszp8jvR3JOuBudv jIg6ebOdnVJErWJhPY+YbUwHwgDlTEjwkU7rh4l3fuCDsZSUzOn1l5dTlVyVr8ZAxcqsJY5H 8V0Ln7vLpmfbROjSSDuPdsue4VP7+0ERbOcAiSSgdYdO8VDOM1YrXWVhYvE9XCXLiDDLs36G aT30K6RL0rnD08Z0CeM6ckHihP+aGF0/tXGVFf19BUQ3vMTUWRmeuKC0wa3d5LplEH2g5TdO jyxo7lgVHrl3ftEVRqrJ+nDkM7GnZXXbmni/tiHc4py7ambMO/fWbb58X9DgdZr2MIalUuFk eM/C83YVcKxDCMlC1pKlhc+jwYYKdvz8dBXG5h0f1XKPyRkeXyPzHQGdovzgyf6FrmJo5PmO AQgAYBpMxKHsV2LQiUCfZxP2xWAs4K74rcAes5vdVqBXYeXeFADCX47amOz6o2FpOAE2W1A1 Zacc/sWcQrpGNGbPzJedST7hJMXZJVKNy7LLBP2V90UwX7IHSyhFxPPTlRpdlJtxYLAU3s+E ekcFyTLIwRYHVjWm16JZXIxAhQROCT/c+L5SU8juIBBaGTg21xUr52qxnAfzmZdzLksQUE+0 vr6WcDtbfnRz4lhVzqCXLuEPlcGOB25srOGhtfZXA0llkT5irGdOIYJdpth4ywJlkp4tZzMw gzWFTY/+U0A/e4Q30iVwhPG4rXCk+CakG0ZZe48xZDriMjSo+R7+LHYI6nu34GDLQyJD8Kfb x4+7coaLSI86T8fhZbtiUi0l02A582HFQrAyBI3aPmQs/2UHgqm3oeH5Q2YHwraT+ZCHz+RL 6RkZkj6zuNhdMeK/YDD6hyzsbrnX/5b7Hu7U+hNtkbC8ptcin0sBLQk0qVQikf3q/5bji4Tz lQqGIZLtkO+5LYjHMWvl2hbF9P3QgpUxFtq8jjTIi12BTMgh5i5hOdWcG3ed5DF0FXBK1S61 RT3MvlCrJKE5y0qBc4mJ0VQqx71MSz0sn07k1WWgdWMUVrF7ovQu4kr3YAVg8UW/x2G05+Gv 3cyVNf4xV7crfNOFQchKZvzrhyxUkbAqTGaC2X00bQJ3FjBQRNQugF+At7VbFaU161Bdnvlg vLTjxi+ezY5yHpRYqekL64PDrTr5fZubHvR6xAvDgZuneevur7yBGJo/vjfkcUR0PNNuNKDp 6Zh8N0TG377/TLVcHKDbJQQrlmwhpiach74ku+gCLcNA77i89FZWxaEcIWph08a0v22+Fqp2 qrXUucvnS5nZvA1rqpv5a3XoFb1rgOr3DIORtoTqJcbyiZKumdQIDmMM5GSs5g2MIwpgme3L tIaM1+V15RAnWaDzecNEPqSrsZw6ohhbhfyV91y5ZBw0j3qFISWnwYznONdhpxbs/NJzA+qB EX4pe1/pVgPpRY4d31RmDvvlOZUU9K+fdCKEojnHNRljbLadBWUCwOseejT+Bf0x5RFcR35P m6PC0e7ynrTH286difSlPdd9+YX3cb+fiD92mXig4oP0HLfaS3fru+QmsXdzwYvnJypM5tHZ 2ZRgXt4JZITF2WWePoPV/16NC9NoXws7GPbBemD8C712VZI0xQAiljWXv7Ol10ihGf1V6fsL kPRUci/U8STqcx6QxiFqbwCRzb/IursoewRVuODgmw3YZt0MjCD5MmmRktfLBXbbmisE2eLD 3+rL9tm3uUqYi5eUbw3iF3vMJiQnrzikGyW7TCYwZRLnzoDox4P0QJ0x+n8JHKtaJDUyBPKr TAshxak3Fs+N5xJyuuntAf5HSqqdozBrXQ8nchqJqX4W/aD4evqdKShlUiru4bjCz4YC0SSl 9cCqe26CwI6HbKUp+IQLvvqt0UIwhVoPYEqS3NW1PEkNZrrUibD/6k6RhODMFGu2G2/Kjchi yd6OR30K2kWdAWHPacb6Z9ECZu6+f49dQbZy/xQzxe24vYNqEl0YJNcPKKDP8zEwWtBhM4wT tK09miuWQN8IxzwCfuPjcUmVhDagqDbMTSRTyoNZfZNNvXTVfpNZ8Q0aIHu9pq0aOHsEictS BOxvwb2dtCSuM5nZ1VbJecYGZ/+xmRHqxBkiAAh+5KSQ60wJUHde6fvJiR7zy5w7yJwKJhYu dVG8/CGjpgSyoh6PHKu/AC7rJ1XCSezD+g9X2k5QLtVu5+lABP01ycF/l0m6wa2H4WalQa64 SMe0BNP/9JY1Kcs62+ypFqRcJ8GWXI1IQpW8y1sYQKa/2NR64WgyuwnNXP3MUEIsQZxUb905 dNfde9PKkU6numucTOW+NQFfzgAIYHQ+oVy2etASKXloFQZ4TdjB/cpUx1El9dyBbtV38Gz9 tJhQR8xVm/O+QkxIqcx53fM6QpMx/hTRWkOLpFZGV3XXOOBqX+6IyKO4wUB1YJpFbkJTHLXG Pz80Dp4WOftnX/HBo7E0murP3q3C/zBe+Jpx9hJlLGq6VwLIxtAsI+mBX+Z/i5OHtdSgONw3 0zkG2zp3NdX2xjv0D7U9JyGeMWlH+izvMe3omgAoN/OIfjPyryrdKXAQsmBvWiDcpmPEIAF/ 0s8tJpGuhzUEXdcTJHXFcEdF/VcAkJDGdD/w1KzCNjfyMsVnE4BeB+sZRopGQbfJgoDl2ob0 jGl66swu0NxnUnPeBzEjBCBGC4m57cwQT9s79ZAvq9Cgu0TLYebJPB1Txu8p+11KeIcFTyIY Nr/LAKeoCIHyswIZyCCfUUyxzI8l5PjkP5Afnw+alU07Q2PC23s+rZiZMnzWSfHXYxcShwem BbuxK/yZrgbggL+TGOrJFWaCBm+zOeQ27GeAWJZQn55nMNZMNUkh1WRvjgqvX0NrPiOIKVZB JLiBbwT0mk+OGRAB1wCS3E8T+RzKF8A1nmGJcTzFHGmoRzoIv+1qcAKoUGq213VlcnsIaYXx 3MJcS6NbrSW+Sc3PBU4N60T8nWVQvcSP2o5OmS3ncVKwZCioOd/SIw/Vax2WEP4zu08hwgXN Thwc4jSBNNL34YlO9VN65YDb42KMlvlBR4bxNMq6Sg40UqAxv6hBqCEze37ZJtCmgEZFn/Kz 25XelF2utCFnuxYmROjxG2BqjHCr0L2fFtL19Sy7IFjO30S/n5s5Oonwi1zD7iLs5mv3o6Gg vWi8zLByzWoJ8u69pq94jtYmna501glSCAPXJG0SC/f2GceO2HkhJZNiRkI/1MBvWEpOUUHU YZIejquPTaazbenBLNN8xT8tcbLgJPxxJ5jWtLJGz1wLN2NwJ880B4tLxY4RrtZWZPCWcyrO Il vostro prossimo nemico…
BIBLIOGRAFIA : • L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione Università degli Studi di Milano, Computer Emergency Response Team Italiano) • B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244) • Espansione novembre 2003 : LA SICUREZZA INFORMATICAÈ UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software) • Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003) • Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France – 2002) • Analisi del Rischio (Giorgio Giudice, 2003) Alessandro Canella – acanella@aangstrom.it

Empfohlen

Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarMatteo Barberi
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezzaVittorio Pasteris
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 

Empfohlen

Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarMatteo Barberi
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezzaVittorio Pasteris
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)Mauro Alovisio
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurityGiulioTerzi
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)iDIALOGHI
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeFulvio Solinas ✔
 

Weitere ähnliche Inhalte

Was ist angesagt?

TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)Mauro Alovisio
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurityGiulioTerzi
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)iDIALOGHI
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 

Was ist angesagt? (18)

TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 

Ähnlich wie Alessandro Canella - convegno privacy - 23 Marzo 2004

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeFulvio Solinas ✔
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for HealthcareSWASCAN
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveMorgan Jones
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdfCentoOff
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxsonicatel2
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDIALOGHI
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDIALOGHI
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2016
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITVincenzo Calabrò
 

Ähnlich wie Alessandro Canella - convegno privacy - 23 Marzo 2004 (20)

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Assicurazione cyber
Assicurazione cyber Assicurazione cyber
Assicurazione cyber
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
 
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
 

Alessandro Canella - convegno privacy - 23 Marzo 2004

  • 1. Le misure minime di sicurezza dei dati e dei sistemi IT: adempimenti organizzativi e tecnici Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
  • 2. Gli attacchi informatici, storia, modalità e tipologia del rischio Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunità del “nostro” sistema informatico Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualità La necessità di migliorare sempre la qualità del servizio all’utenza della nostra azienda passa anche per una organizzazione globale dei sistemi informativi La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato Punti di contatto tra gli intenti del management di un’azienda moderna e il legislatore
  • 3. Gli attacchi informatici, storia, modalità e tipologia del rischio
  • 4. Secondo l’Information Technology Security Evaluation Criteria, standard europeo di sicurezza, sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando è in grado di garantire il soddisfacimento delle proprietà di: confidenzialità integrità disponibilità È quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in: 1) La sicurezza è direttamente proporzionale alla disponibilità di un sistema informatico 2) Un senso di falsa sicurezza è più dannoso di una consapevole insicurezza 3) Non e` questione di “se”, ma di “quando” si presenterà il danno e di “quanto tempo” si avra`per limitare i danni. 4) Non esiste sicurezza assoluta. Cos’è un sistema informatico sicuro? Le informazioni devono essere disponibili solo agli interessati I dati devono essere integri per poter effettuare elaborazioni attendibili Il sistema informatico in deve garantire la massima funzionalità percentuale
  • 5. Cosa mette a repentaglio la sicurezza del sistema? Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialità, integrità, disponibilità devono sempre essere garantite. A parità di qualità degli applicativi e dei calcolatori che usiamo, è compito dei sistemisti trovare ed applicare soluzioni che possano maggiormente garantire il rispetto dell’enunciato precedente. Il prezzo da pagare non può essere considerato ininfluente : al giorno d’oggi gran parte del business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei dati non integri va di pari passo con il fornire un servizio non adeguato all’utenza. $ = 
  • 6. Cosa mette a repentaglio la sicurezza del sistema? I PC client rappresentano un anello importante nella catena della sicurezza, e i casi di violazione aumento a una velocità allarmante. Solo nel 2002, la società londinese Mi2g quantifica in 7 miliardi di dollari il danno derivante da attacchi digitali dolosi a livello mondiale (Mi2G “Economic damage from Digital Risk Stablishing”, 22 ottobre 2002). Catania - La Guardia di Finanza di Catania scopre pirati informatici che su Internet, accedendo illegittimamente alla rete telematica dell'università catanese, violavano sistemi informatici di enti pubblici, banche e società private italiane ed estere. Sono state denunciate sette persone (Il Giorno, 11/02/2000) Imprese sempre più nel mirino dei virus: in 20 mesi oltre un milione di casi Venti mesi di “osservazione”, oltre un milione di casi accertati. Questo il risultato d’una ricerca – la più completa, probabilmente, fin qui condotta sul problema delle infezioni on line – effettuata dalla ICSA Laboratories (una divisione della TruSecure, azienda specializzata nella sicurezza on line) su un campione di 300 imprese americane, nell’arco di tempo che va dal gennaio del 200 all’agosto del 2001. La ricerca, commissionata da una serie di corporazioni, ha rilevato una media mensile di 113 “incontri” – come vengono definite le scoperte di virus – ogni mille macchine. Nel 1996, quando questo tipo di studio era stato effettuato per la prima volta, gli incontri erano stati 20 ogni mille macchine. Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e là intercalati da istanti di panico’.(Information Security Magazine) TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi piùefficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003) ATTACCHI E VIOLAZIONI ALLA SICUREZZA SONO COSTATI ALLE AZIENDE 378 MILIONI DI DOLLARI NEL 2000 (da un rapporto dell’FBI)
  • 7. Ma ci sono casistiche che possono preoccupare effettivamente? Il 78% delle aziende e degli enti italiani è vittima di un attacco al proprio sistema operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo anno, nonostante il 95% di queste avesse un sistema di protezione" Sempre più spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi interni, un dato in contraddizione con i risultati del rilevamento precedente. Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di trasporti, assicurazioni, società di telecomunicazioni e banche (Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del Ministero delle Attività Produttive)
  • 8. In un periodo particolare della mia vita, a nemmeno 20 anni, decisi di fare un "raid". Quasi 50 sistemi informatici […], furono violati. Nomi famosi, tra questi sistemi: Ente Nazionale Energia Alternativa, Consiglio Nazionale delle Ricerche, case farmaceutiche di fama mondiale, compagnie telefoniche americane ed europee, la Banca d'Italia. Il gioco non era piu' tale, si era fatto pesante e io non lo sapevo e un giorno venni arrestato per reati di natura informatica. […] La Falange Armata ce la siamo inventata per farci pubblicità, in realtà la nostra unica vera attività illecita è stata quella di utilizzare numeri di carte di credito […] Ma perché dovrebbero prendersela con la nostra azienda? Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione. Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di molto. D'altra parte era facilissimo, in alcune di queste aziende le password (parole chiave per entrare in un sistema) erano "prova", "Pippo" oppure "Maria” […] Quando cercavo lavoro, mi sono proposto alla Fiat per curargli la sicurezza del sistema informatico", racconta poi Raoul. "Mi hanno detto che non ne avevano bisogno. Quella sera stessa ho verificato che non era così". ( Raoul Chiesa “nobody”, ex hacker, esperto di sicurezza informatica
  • 9. ESTERNO AZIENDA volontarie/fraudolente volontarie/casuali volontarie/fraudolente involontarie/casuali rivalsa spionaggio hacker spionaggio errore umano calamità script kiddies lamer D.O.S. D.D.O.S. ROOTKIT TROJAN SCRIPT HACKTOOL WORM ??? DELETE COPY D.O.S. TROJAN VIRUS P2P GUASTi ??? dati ??? ??? A quali tipi di rischi siamo normalmente esposti? INTERNO AZIENDA
  • 10. 26,3 22,6 19,7 14,4 7,3 6,7 5,2 2 1,7 1,7 0,8 0,6 0,6 0,3 0,3 virus perdit a servizi essenziali guast i errori ut ilizzo errori concet t uali furt i event i nat urali at t acchi logici incident i fisici frodi at t i denigrat ori divulgazione di dat i sabot aggi int rusioni est orsioni Ci sono tipologie del rischio da sottovalutare?? Fonte : Clusif “étude et statistique sur la sinistralité informatique en France 2002”
  • 11. Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualità
  • 12. La sicurezza informatica, è oggi necessaria? Analizziamo innanzitutto gli impatti possibili su una azienda : Tangibili - perdita di dati, rilavorazione dei medesimi - utilizzo di dati non corretti nelle procedure aziendali - fermo sistemi e fermo lavorazione (compresa la produttività del personale non IT) - costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento - costi di lavoro per la raccolta informazioni relative all’accertamento della responsabilità Intangibili - utilizzo di dati propri da parte di terzi per marketing, perdita di clienti - perdita dell’eventuale esclusivo know-how economico e industriale - danno di immagine e perdita di fiducia dei clienti - responsabilità per danni involontari a terzi Quale e perché dovrebbe essere il nostro comportamento?
  • 13. 1. Identificazione degli elementi da proteggere 2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti 3. Analisi dei rischi Questi step sono meglio identificati sotto il nome di “analisi del rischio”, l’analisi del rischio serve a individuare i rischi cui si è sottoposti ed è necessaria per poter valutare quali tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e qualitative VALORE basso medio alto RISCHIO basso       medio       alto       Come Procedere? Analisi qualitativa Rischio = (valore del bene) X (fattore di esposizione) X (frequenza di accadimento) Analisi quantitativa
  • 14. Come Procedere? SERVER ACCESS POINT CLIENT  BACKUP  INTERNAL NETWORK  L’analisi del rischio, produrrà una tabella contenente questi elementi, ed evidenzieremo per ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la procedura adeguata VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
  • 15. 4. Analisi costi-benefici 5. Piano operativo 6. Regole comportamentali 7. Procedura di gestione degli incidenti Trovate le singole criticità e le relative protezioni, analizzeremo i costi-benefici perché se è vero che la sicurezza non è mai troppa, è anche vero che ogni azienda ha una sua dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo sarà costituito da questi due fattori: un’insieme omogeneo fra sistemi tecnologici e procedure comportamentali. Come Procedere? SERVER ACCESS POINT CLIENT  BACKUP  INTERNAL NETWORK VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
  • 16. La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
  • 17. Ricostruendo l’analisi sin qui effettuata, analizziamo le richieste di legge L’adozione di misure minime di sicurezza : “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31”(rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta) - I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali. - I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. - Il trattamento dei dati è consentito solo se: - sono adottate le misure minime di sicurezza individuate dal Codice - le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B) Effettivamente cosa ci richiede la legge 196?
  • 18. Misure individuate dall’art. 34 del codice - Autenticazione informatica - Procedure di gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione - Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici - Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti - Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi - Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) - Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari Effettivamente cosa ci richiede la legge 196?
  • 19. Misure individuate dall’allegato B - Il trattamento dei dati è consentito solo agli - incaricati dotati di credenziali di autenticazione (username + password; dispositivo elettronico di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave) - È prevista una gestione dei codici identificativi (username): - I criteri di definizione e assegnazione comprendono: individualità non riutilizzabilità - È prevista una validità temporale (disattivazione per mancato utilizzo – o per perdita qualità) - È prevista una gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) - Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di custodia Effettivamente cosa ci richiede la legge 196?
  • 20. Misure individuate dall’allegato B - Ad ogni incaricato possono essere associate una o più credenziali - Il titolare dovrà fornire agli incaricati precise istruzioni riguardanti: la gestione e conservazione delle credenziali di autenticazione la custodia dei dispositivi in possesso e uso esclusivo dell’incaricato la gestione e custodia dello strumento elettronico durante le sessioni di trattamento - Deve esserci individuazione puntuale delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale - Profili di autorizzazione (per ciascun incaricato o per classi omogenee): - Sono previsti criteri di individuazione preventiva - Sono previste verifiche periodiche (almeno ogni anno) - Sono previsti criteri di revoca Effettivamente cosa ci richiede la legge 196?
  • 21. Altre Misure - Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati - installazione e aggiornamento software antivirus (almeno ogni 6 mesi) - aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) - istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale) Ulteriori misure in caso di trattamento dati sensibili - sono previste - istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili - istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute - adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (con un massimo di 7 giorni) - Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico Effettivamente cosa ci richiede la legge 196?
  • 22. RICHIESTE DI LEGGE PROCEDURE STANDARD A GARANZIA DELLA QUALITA’ DEI SISTEMI Quale dovrebbe essere in sintesi il nostro piano di attuazione? EFFETTIVO PIANO DI GESTIONE DEL SISTEMA
  • 23. Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge, idealmente includeremmo: - Un sistema di autenticazione per l’accesso ai dati, gestione di password ai differenti sistemi - L’aggiornamento periodico dell’individuazione dell’ambito un sistema di procedure di gestione delle responsabilità e degli accessi - La protezione degli strumenti elettronici e dei dati, un antivirus con gestione degli aggiornamenti e degli alerting, policy di utilizzo - L’ adozione di procedure per la custodia di copie di sicurezza, con garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri) - La tenuta di un aggiornato documento programmatico sulla sicurezza, che possa garantire l’aggiornamento progettuale ed attuativo - Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalità di contenimento dei rischi Ma l’effettivo impegno profuso, in cosa si concretizza?
  • 24. - I dati personali sono protetti contro il rischio di intrusione un sistema firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting - L’ adozione di tecniche di cifratura o di codici identificativi con gestione di chiavi crittografiche - Gli aggiornamenti periodici dei programmi per elaboratore un sistema di update dei sistemi operativi e dei software. - Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori controllo del medesimo - I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili - Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati un contingency plan che comprenda il restore dei dati e dei sistemi, proceduralizzato per poter essere attuato in tempi ristrettissimi Ma l’effettivo impegno profuso, in cosa si concretizza?
  • 25. No, l’applicazione della legge sulla privacy, prefigura anche: - Redazione di documentazione sulle effettive responsabilità di gestione ed utilizzo nomina del titolare nomina del responsabile nomina degli incaricati elenco accessi ai diversi sistemi, natura e modalità dell’autenticazione - Redazione di documentazione sulla configurazione software dei sistemi elenco attrezzature elenco software checklist di sicurezza - Redazione di documentazione sulla configurazione dei sistemi di protezione del sistema informatico elenco dei sistemi di sicurezza, modalità di mantenimento, controllo ed aggiornamento procedure sulla modalità di esecuzione e gestione dei salvataggi procedure di ripartenza dei sistemi e di gestione delle emergenze Tutta questa documentazione deve essere redatta in maniera armonica ed integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed inclusa nel documento programmatico sulla sicurezza. Pertanto una mera applicazione di software e capacita progettuali?
  • 26. TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA AAAAAAAAAADgAA8BCwEAAAAEAAAAcgAAAAAAAAAgAQAAEAAAACAAAAAAQAAAEAAAAAIAAAQA AAAAAAAABAAAAAAAAAAAMAEAAAQAAAAAAAACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAA AAAAAAAAAAD0IAEAawAAAACwAABobQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAdAAAAACgAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAA AADgAADAAAAAAHRhAAAAcAAAALAAAHRvAAAABAAAAAAAAAAAAAAAAAAA4AAAwAAAAABhAAAA ABAAAAAgAQAAAgAAAAIAAAAAAAAAAAAAAAAAAOAAAMAFBAYEAQDOIUAAAgAAQAAAAG4AAAAM AAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAAC70AFAAL8AEEAAviwcQQBT6AoAAAAC0nUFihZG EtLD/LKApGoCW/8UJHP3M8n/FCRzGDPA/xQkcyGzAkGwEP8UJBLAc/l1P6rr3OhDAAAAK8t1 EOg4AAAA6yis0eh0QRPJ6xyRSMHgCKzoIgAAAD0AfQAAcwqA/AVzBoP4f3cCQUGVi8WzAVaL 9yvw86Re65YzyUH/VCQEE8n/VCQEcvTDX1sPtztPdAhPdBPB5wzrB4t7AleDwwRDQ+lR//// X7soIUEAR4s3r1f/E5UzwK51/f4PdO/+D3UGR/83r+sJ/g8PhKLw/v9XVf9TBAkGrXXbi+zD HCEBAAAAAAAAAAAANCEBACghAQAAAAAAAAAAAAAAAAAAAAAAAAAAAEAhAQBOIQEAAAAAAEAh AQBOIQEAAAAAAEtFUk5FTDMyLmRsbAAATG9hZExpYnJhcnlBAABHZXRQcm9jQWRkcmVzcwDr AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAEAAgAYAQCAKAAAgAMAAABAAACADgAAAGAAAIAAAAAAAAAAAAAAAAAAAAEA ZQAAAHgAAIAAAAAAAAAAAAAAAAAAAAIAAQAAAJAAAIACAAAAqAAAgAAAAAAAAAAAAAAAAAEA AAAmAQCAwAAAgAAAAAAAAAAAAAAAAAAAAQAHBAAA2AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA 6AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA+AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAACAEAADCx AAAAaAAAAAAAAAAAAABEGQEA6AIAAAAAAAAAAAAAMEAAACgBAAAAAAAAAAAAADAZAQAiAAAA AAAAAAAAAAAGAEIASQBOAEEAUgBZAAEAMAAAAAAAAABrfWaFlBWtHdaU3cSJ5jkxSa21WPCT lzJZK9HA/RaOTkibC/U7SahjXd4/321otIeaqs3c98FEgSkIG0C6ODBOmsur3t5wGFBqh50K ds6TPEgjC6CdNZN7rjIV8vVYEeYEudN7R75kOiMW8iMOucg+gAgTXuypw1pQ+ca7eliihvH+ BKZOhikSH0oRAfDprm0Vh687q8QC/ZmshNoRyjjQjMemK1iKjEvkj8KBP4/d0gQrjoViQVpc RCQCofUL//pjNEcThyvQrFIhYOB29tPY/yF8mWd97Pk/bNiiP2WUW+j2DTqnFxOp9dMi6sWw nvjkyggxsi4BkiGP2II4tZ6x1rLKgUZ8XsW+9S/Ji25/hCze1WlfWwiU3UCXYzryPnJEh8or O18rjsHmyS6iSx58HvJ7SFS2KoUB065NYMOkJXQG7YFuOKmLZz6kIEHBlhsaL6fX2L2O7wDx 9kimzvhSeVIJise//UQYlGGngOYO+cK8/R3Dtl1ZsiPgXbQvX4G3M5dPL2tRQT3SqssXE6+c RPIrIgjovkwjDS+TuzwDO5ZxT9aMdcoLPL4mlf+QoY4aadfuOJzaTxc8hPOBOwwHftPYKcgl kil/IX4MHqULV82GzO85GtjqghWLg/Nnom7XI9tQycfRI2zCWjldmhV9ZjpG/XWq4UW4lJ05 +Tfr9wlX/1F596yCbQlgIqSy6YqsI1pPUpQdCV0IQVk8whLKDtufVb7pUszp8jvR3JOuBudv jIg6ebOdnVJErWJhPY+YbUwHwgDlTEjwkU7rh4l3fuCDsZSUzOn1l5dTlVyVr8ZAxcqsJY5H 8V0Ln7vLpmfbROjSSDuPdsue4VP7+0ERbOcAiSSgdYdO8VDOM1YrXWVhYvE9XCXLiDDLs36G aT30K6RL0rnD08Z0CeM6ckHihP+aGF0/tXGVFf19BUQ3vMTUWRmeuKC0wa3d5LplEH2g5TdO jyxo7lgVHrl3ftEVRqrJ+nDkM7GnZXXbmni/tiHc4py7ambMO/fWbb58X9DgdZr2MIalUuFk eM/C83YVcKxDCMlC1pKlhc+jwYYKdvz8dBXG5h0f1XKPyRkeXyPzHQGdovzgyf6FrmJo5PmO AQgAYBpMxKHsV2LQiUCfZxP2xWAs4K74rcAes5vdVqBXYeXeFADCX47amOz6o2FpOAE2W1A1 Zacc/sWcQrpGNGbPzJedST7hJMXZJVKNy7LLBP2V90UwX7IHSyhFxPPTlRpdlJtxYLAU3s+E ekcFyTLIwRYHVjWm16JZXIxAhQROCT/c+L5SU8juIBBaGTg21xUr52qxnAfzmZdzLksQUE+0 vr6WcDtbfnRz4lhVzqCXLuEPlcGOB25srOGhtfZXA0llkT5irGdOIYJdpth4ywJlkp4tZzMw gzWFTY/+U0A/e4Q30iVwhPG4rXCk+CakG0ZZe48xZDriMjSo+R7+LHYI6nu34GDLQyJD8Kfb x4+7coaLSI86T8fhZbtiUi0l02A582HFQrAyBI3aPmQs/2UHgqm3oeH5Q2YHwraT+ZCHz+RL 6RkZkj6zuNhdMeK/YDD6hyzsbrnX/5b7Hu7U+hNtkbC8ptcin0sBLQk0qVQikf3q/5bji4Tz lQqGIZLtkO+5LYjHMWvl2hbF9P3QgpUxFtq8jjTIi12BTMgh5i5hOdWcG3ed5DF0FXBK1S61 RT3MvlCrJKE5y0qBc4mJ0VQqx71MSz0sn07k1WWgdWMUVrF7ovQu4kr3YAVg8UW/x2G05+Gv 3cyVNf4xV7crfNOFQchKZvzrhyxUkbAqTGaC2X00bQJ3FjBQRNQugF+At7VbFaU161Bdnvlg vLTjxi+ezY5yHpRYqekL64PDrTr5fZubHvR6xAvDgZuneevur7yBGJo/vjfkcUR0PNNuNKDp 6Zh8N0TG377/TLVcHKDbJQQrlmwhpiach74ku+gCLcNA77i89FZWxaEcIWph08a0v22+Fqp2 qrXUucvnS5nZvA1rqpv5a3XoFb1rgOr3DIORtoTqJcbyiZKumdQIDmMM5GSs5g2MIwpgme3L tIaM1+V15RAnWaDzecNEPqSrsZw6ohhbhfyV91y5ZBw0j3qFISWnwYznONdhpxbs/NJzA+qB EX4pe1/pVgPpRY4d31RmDvvlOZUU9K+fdCKEojnHNRljbLadBWUCwOseejT+Bf0x5RFcR35P m6PC0e7ynrTH286difSlPdd9+YX3cb+fiD92mXig4oP0HLfaS3fru+QmsXdzwYvnJypM5tHZ 2ZRgXt4JZITF2WWePoPV/16NC9NoXws7GPbBemD8C712VZI0xQAiljWXv7Ol10ihGf1V6fsL kPRUci/U8STqcx6QxiFqbwCRzb/IursoewRVuODgmw3YZt0MjCD5MmmRktfLBXbbmisE2eLD 3+rL9tm3uUqYi5eUbw3iF3vMJiQnrzikGyW7TCYwZRLnzoDox4P0QJ0x+n8JHKtaJDUyBPKr TAshxak3Fs+N5xJyuuntAf5HSqqdozBrXQ8nchqJqX4W/aD4evqdKShlUiru4bjCz4YC0SSl 9cCqe26CwI6HbKUp+IQLvvqt0UIwhVoPYEqS3NW1PEkNZrrUibD/6k6RhODMFGu2G2/Kjchi yd6OR30K2kWdAWHPacb6Z9ECZu6+f49dQbZy/xQzxe24vYNqEl0YJNcPKKDP8zEwWtBhM4wT tK09miuWQN8IxzwCfuPjcUmVhDagqDbMTSRTyoNZfZNNvXTVfpNZ8Q0aIHu9pq0aOHsEictS BOxvwb2dtCSuM5nZ1VbJecYGZ/+xmRHqxBkiAAh+5KSQ60wJUHde6fvJiR7zy5w7yJwKJhYu dVG8/CGjpgSyoh6PHKu/AC7rJ1XCSezD+g9X2k5QLtVu5+lABP01ycF/l0m6wa2H4WalQa64 SMe0BNP/9JY1Kcs62+ypFqRcJ8GWXI1IQpW8y1sYQKa/2NR64WgyuwnNXP3MUEIsQZxUb905 dNfde9PKkU6numucTOW+NQFfzgAIYHQ+oVy2etASKXloFQZ4TdjB/cpUx1El9dyBbtV38Gz9 tJhQR8xVm/O+QkxIqcx53fM6QpMx/hTRWkOLpFZGV3XXOOBqX+6IyKO4wUB1YJpFbkJTHLXG Pz80Dp4WOftnX/HBo7E0murP3q3C/zBe+Jpx9hJlLGq6VwLIxtAsI+mBX+Z/i5OHtdSgONw3 0zkG2zp3NdX2xjv0D7U9JyGeMWlH+izvMe3omgAoN/OIfjPyryrdKXAQsmBvWiDcpmPEIAF/ 0s8tJpGuhzUEXdcTJHXFcEdF/VcAkJDGdD/w1KzCNjfyMsVnE4BeB+sZRopGQbfJgoDl2ob0 jGl66swu0NxnUnPeBzEjBCBGC4m57cwQT9s79ZAvq9Cgu0TLYebJPB1Txu8p+11KeIcFTyIY Nr/LAKeoCIHyswIZyCCfUUyxzI8l5PjkP5Afnw+alU07Q2PC23s+rZiZMnzWSfHXYxcShwem BbuxK/yZrgbggL+TGOrJFWaCBm+zOeQ27GeAWJZQn55nMNZMNUkh1WRvjgqvX0NrPiOIKVZB JLiBbwT0mk+OGRAB1wCS3E8T+RzKF8A1nmGJcTzFHGmoRzoIv+1qcAKoUGq213VlcnsIaYXx 3MJcS6NbrSW+Sc3PBU4N60T8nWVQvcSP2o5OmS3ncVKwZCioOd/SIw/Vax2WEP4zu08hwgXN Thwc4jSBNNL34YlO9VN65YDb42KMlvlBR4bxNMq6Sg40UqAxv6hBqCEze37ZJtCmgEZFn/Kz 25XelF2utCFnuxYmROjxG2BqjHCr0L2fFtL19Sy7IFjO30S/n5s5Oonwi1zD7iLs5mv3o6Gg vWi8zLByzWoJ8u69pq94jtYmna501glSCAPXJG0SC/f2GceO2HkhJZNiRkI/1MBvWEpOUUHU YZIejquPTaazbenBLNN8xT8tcbLgJPxxJ5jWtLJGz1wLN2NwJ880B4tLxY4RrtZWZPCWcyrO Il vostro prossimo nemico…
  • 27. BIBLIOGRAFIA : • L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione Università degli Studi di Milano, Computer Emergency Response Team Italiano) • B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244) • Espansione novembre 2003 : LA SICUREZZA INFORMATICAÈ UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software) • Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003) • Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France – 2002) • Analisi del Rischio (Giorgio Giudice, 2003) Alessandro Canella – acanella@aangstrom.it