SlideShare a Scribd company logo

Sicurezza informatica per le professioni legali

Raffaella Brighi
Raffaella Brighi

Fondazione forense e Consiglio dell'ordine degli avvocati, Ferrara “La sicurezza nel web”, 10 giugno 2016

Law
1 of 57
Download to read offline
La  sicurezza  informatica nelle  professioni  legali Fondazione  Forense  Ferrarese 10  giugno  2016 Raffaella  Brighi CIRSFID  e  Scuola  di  Giurisprudenza,  Università  di  Bologna
Quattro  punti Parte  prima Informatica,  professionisti  e  dati  digitali Parte  seconda Minacce  e  vulnerabilità Parte  terza Rischi  informatici  legati  alla  professione  e  il  quadro   giuridico  di  riferimento Parte  quarta Principi  e  strumenti  per  la  sicurezza  informatica
INFORMATICA,  PROFESSIONISTI  E DATI  INFORMATICI Parte  prima
Il  professionista   e  i  nuovi  scenari  tecnologici • Dal Personal Computer a un complesso sistema di strumenti informatici organizzati tra loro: firme digitali, posta elettronica certificata, marche temporali, console dell’avvocato, bolli on line, ecc. • A ciò si aggiungono nuove opportunità, in termini di servizi, utilità, comodità: – App per smartphone e tablet – Il Cloud Computing – Il modello Bring Your Own Device (BYOD) – … e, in un futuro non molto lontano, cosa porterà l’Internet of Things al professionista forense?
http://wearesocial.com/it/blog/2016/01/report-­digital-­social-­mobile-­in-­2016
Uso  passivo  della  tecnologia • Si osserva una certa passività dell’utente che si limita ad utilizzare le funzioni base con scarsa conoscenza delle funzioni avanzate • I sistemi operativi moderni tendono a nascondere come operano gli strumenti per rendere più semplici all’utente ogni operazione • Degli strumenti impiegati è importante capire: – Le  caratteristiche  di  funzionamento  e  le  finalità – Le  condizioni d’uso – I  limiti degli  strumenti • Valutare preventivamente le risorse tecnologiche, sia in riferimento al corretto trattamento e protezione dei dati, sia nell’ottica di un’eventuale produzione in giudizio degli stessi
Il  dato  digitale • Le attività di raccolta, organizzazione, conservazione e trasmissione dei dati costituiscono uno dei principali compiti dei sistemi informatici • In molte applicazioni i dati sono più stabili rispetto ai programmi utilizzati per elaborarli (problema del porting) • I dati registrati aumentano continuamente, ma la memoria digitale è assai fragile per ragioni tecniche (obsolescenza di hardware, software, piattaforme chiuse, ecc) e per vulnerabilità a virus e cyber attacchi
[http://blogs.intel.com/scoop/files/2012/03/infographic_1080_logo.jpg]
Dato  =  Valore • I dati generati dalle nostre attività online – scambiati, integrati e aggregati dai sistemi informatici (sistemi predittivi, business analytics, data mining, ecc.) – assumono un ruolo centrale nei processi di decisione (Data Driven Economy) • Se è strategico comprendere il valore tutelato • Valore del dato: – per l’interessato – per altri soggetti (governi, aziende, assicurazioni, criminalità, ecc.) • Nella società della conoscenza, il dato deve essere salvaguardato attraverso opportune misure tecnologiche e giuridiche
La  Hidden Data  economy: acquisto  di  dati  personali  nel  Deep Web Acquisto  di  dati  personali Da  The  Hidden Data  Economy  (by  Intel  Security),  2015   http://www.mcafee.com/us/resources/reports/rp-­hidden-­data-­economy.pdf
Gli  hacker  hanno  rivelato   le  informazioni  private  dei   clienti  per  punire  l'azienda   sanitaria,  colpevole  di  non   aver  pagato  il  riscatto. [Report  di  McAfee  Labs del  2015]
MINACCE  E  VULNERABILITÀ Parte  seconda
Minacce  e  vulnerabilità • Il tema della sicurezza informatica riguarda tutte le componenti del sistema informativo: l’hardware, il software, i dati e le persone • La minaccia rappresenta un’azione potenziale, accidentale o deliberata, che può portare alla violazione di uno o più obiettivi di sicurezza (agente esterno) • La vulnerabilità è un punto debole del sistema informativo che, se colpito o sfruttato da una minaccia, porta alla violazione di uno o più obiettivi di sicurezza • La misura del rischio cui è esposto un sistema informativo viene determinata dalla combinazione del valore dei beni, del livello delle minacce e del livello delle vulnerabilità
Categorizzazione  delle  minacce Le minacce a un sistema informativo sono di diverso tipo e difficilmente enucleabili: • catastrofi naturali o incidenti imprevisti • attacchi  esterni  di  soggetti  interessati  a  compromettere  la  sicurezza   del  sistema  informativo,  per  sottrarre  informazioni,  creare  danni   rendendo  indisponibili  dati  o  strumenti • software  malevolo  (virus  o  malware) • errori  umani:  attività  scorrette  o  illecite  da  parte  di  personale  interno
Le  nuove  cyber  minacce
Tipologie  di  attacchi  esterni • Attacchi in grado di sfruttare specifiche debolezze di un programma software: exploit, buffer overflow, cracking • Attacchi in grado di sfruttare connessioni di rete e porte di accesso ai sistemi o di intervenire sul traffico in transito: backdoor, port scanning, sniffing, keylogging, spoofing, DoS/DDooS • Attacchi condotti con l’utilizzo di software malevolo: virus, trojan, spyware, ransomware • Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza da parte del personale di un’organizzazione, per accedere ad informazioni riservate: phishing, chiavette USB che veicolano Trojan, ecc.
Profitto  del  Cybercrime • Profitto  indiretto:  costruzione  di  infrastrutture  di  attacco  affittate  e   vendute  (es.  Ransomware,  SpyEye);;  rivendita  di  informazioni,  codici   di  accesso,  carte  di  credito – con  grande  facilità  si  reperiscono  gli  strumenti  necessari  alla   generazione  dei  nuovi  software  malevoli – non  richieste  competenze  evolute • Profitto  diretto:  frodi  automatizzate,  ransomware,  finti  antivirus,   ecc.  
Alcuni  dati  -­I [McAfee  Labs,  2016]
Alcuni  dati  -­II [McAfee  Labs,  2016]
Alcuni  dati  -­III [McAfee  Labs,  2016]
Alcuni  dati  -­IV [McAfee  Labs,  2016]
Ransomware • Sono software malevoli che infettano i pc e ne cifrano i contenuti chiedendo un riscatto per consegnare la chiave con cui decifrarli (es. Cryptolocker, Cryptowall o TorrentLocker, CTB-­Locker e TeslaCrypt) • Modalità di diffusione: – mail di phishing: false fatture o note di credito allegate al messaggio, codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc) o relative a bollette di gestori di energia (Enel Energia, ecc) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, ecc) – diffusione tramite siti ”bucati” – indirizzamento verso una cartella in Cloud da cui viene scaricato il malware
Ransom con  phishing su  inchiesta   Procura  della  Repubblica [  fonte:  http://www.ransomware.it/]
[  fonte:  http://www.ransomware.it/]
[  fonte:  http://www.ransomware.it/]
[  fonte:  http://www.ransomware.it/]
Trojan diffuso  tramite  falsa  querela   per  diffamazione  aggravata [  fonte:  http://www.ransomware.it/]
I  rischi  del  mobile • Facilità di smarrimento e sottrazione;; scarso impiego di misure di blocco dello schermo e del dispositivo • Disomogeneità dei sistemi operativi;; numerose release da manutenere e carenza di funzionalità di sicurezza • Grande quantità di informazioni e funzionalità • Impiego di app non sempre controllate adeguatamente dai gestori degli store • Uso di protocolli di trasmissione (wifi, bluetooth) non riservati e spesso condivisi in luoghi pubblici con altri utenti
RISCHI  INFORMATICI  LEGATI  ALLA   PROFESSIONE  E  QUADRO  GIURIDICO Parte  terza
Consapevolezza  dei  rischi   informatici  legati  alla  professione I  rischi  riguardano  tutta  la  catena  degli  operatori: • dominio  delle  tecnologie  in  possesso  dell’avvocato   (personali  e  dello  studio) • dominio  dei  sistemi  informatici  imposti  dalle  istituzioni • capacità  di  gestire  correttamente  dati  e  comportamenti  di   terzi [Ziccardi,  2011]
Alcuni  casi  di  cronaca • LECCE  -­ Allarme  in  Tribunale  per  il  furto  di  un  computer  all’interno   dell’ufficio  del  giudice  Fabrizio  Malagnino,  della  seconda  sezione   penale.  Nel  pc  erano  contenuti  dati  sensibili.  Indagano  carabinieri  e   polizia  [  Corriere  del  mezzogiorno,  15  ottobre  2015] • Catania,  ladri  alla  Corte  d’Appello,  Rubati  alcuni  computer  dell’Unep [La  Sicilia.it,  18  ottobre  2015] • S.M.  Capua  Vetere.  Furto  in  Tribunale,  sparito  il  computer  della   Camera  Penale  [Il  Mattino.it,  21  novembre  2015] • Tribunale  di  Padova,  furto  nell’ufficio  di  un  giudice.  Rubati  il  cellulare   e  il  pc  portatile  con  materiale  di  lavoro [Il  mattino  di  Padova,  29   gennaio  2016] Obblighi  di  diligenza,  segretezza  e  riservatezza  del  Codice  di   deontologia  forense
Un  esperimento  del  2009 • Caso  di  hacking verso  gli  uffici  del  Tribunale  di  Milano  per  verificare   la  vulnerabilità  degli  uffici  giudiziari  dimostra  che  anche  un   attaccante  di  basso  profilo  può  violare  la  sicurezza  del  sistema   (Cajani,  2009)   • Il  patrimonio  informativo  va  pensato  come  un  bene  da  tutelare  con  i   migliori  mezzi  tecnologici!
La  sicurezza  informatica   nel  quadro  giuridico • L’importanza della sicurezza informatica emerge in modo chiaro nella disciplina per la protezione dei dati personali (D.lgs 196 del 2003, in particolare Allegato B) • La  sicurezza  informatica  non  è  contemplata  solo  in  riferimento  alla   privacy  nel  nostro  ordinamento  ma  anche: – dal  CAD  (d.lgs.  n.  82  del  2005),  relativamente  alle  firme  elettroniche  e   digitali  e  alla  continuità  operativa  della  PA  (art.  50-­bis) – relativamente  ai  crimini  informatici  (art.  615-­ter  c.p.,  accesso  abusivo  a   sistema  informatico  o  telematico) – dalla  normativa  sul  diritto  d’autore  (l.  n.  633/41)  che  prevede  misure   tecnologiche  idonee  a  proteggere  le  opere  dell’ingegno  da  usi  non   consentiti  dall’autore
Privacy  e  obblighi  di  sicurezza • Codice Privacy -­ la sicurezza non riguarda i sistemi ma i dati trattati • Il Codice privacy prevede due livelli di sicurezza: le misure minime di sicurezza (art 33 e ss.) e le misure idonee e preventive di sicurezza (art. 31) finalizzate a ”ridurre al minimo [.…] i rischi di distruzione o perdita, anche accidentale, dei dati [.…], di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” – le misure idonee sono adottate dal titolare tenendo conto di: 1) progresso tecnico, 2) natura dei dati oggetti del trattamento, 3) specifiche caratteristiche del trattamento – le misure minime sono volte ad assicurare un livello minimo di sicurezza • Discrimen fra responsabilità civile e responsabilità (anche) penale [Perri, 2007]
Misure  minime  di  sicurezza (ex  art.  34  ) a) Autenticazione  informatica b) Adozione  di  procedure  di  gestione  delle  credenziali  di  autenticazione c) Utilizzazione  di  un  sistema  di  autorizzazione d) Aggiornamento  periodico  dell'individuazione  dell'ambito  del  trattamento   consentito  ai  singoli  incaricati  e  addetti  alla  gestione  o  alla  manutenzione   degli  strumenti  elettronici e) Protezione  degli  strumenti  elettronici  e  dei  dati  rispetto  a  trattamenti  illeciti  di   dati,  ad  accessi  non  consentiti  e  a  determinati  programmi  informatici f) Adozione  di  procedure  per  la  custodia  di  copie  di  sicurezza,  il  ripristino  della   disponibilità  dei  dati  e  dei  sistemi h Adozione  di  tecniche  di  cifratura  o  di  codici  identificativi  per  determinati   trattamenti  di  dati  idonei  a  rivelare  lo  stato  di  salute  o  la  vita  sessuale   effettuati  da  organismi  sanitari Indicazioni  specifiche  sono  contenute  nel  Disciplinare  tecnico  (Allegato  B)
Nuova  normativa  EU • ll 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini • Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE • Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento • La Direttiva, invece, è vigente dal 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni [www.garanteprivacy.it]
Un  primo  sguardo   al  Regolamento  EU • Protezione by design e by default Articolo  25 Protezione  dei  dati  fin  dalla  progettazione  e  protezione  per   impostazione  predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. (segue>)
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
I  principi   della  Privacy  by  Design 1) Essere proattivo non reattivo: la PbD ha come scopo la prevenzione piuttosto che il rimedio 2) La privacy come impostazione di default, ovvero come regola di base di un sistema IT 3) La privacy incorporata nella progettazione, cioè integrata dei sistemi informativi 4) Il perseguimento della massima funzionalità, intesa come valore positivo, non valore zero, quindi vantaggioso per tutti 5) La sicurezza fino alla fine e la piena protezione del ciclo di vita del dato 6) La visibilità e la trasparenza, dal momento che componenti ed operazioni delle tecnologie e delle prassi utilizzate devono sempre essere verificabili 7) Il rispetto per la privacy dell’utente e la centralità dell’utente, potenziate seguendo un approccio user-­centred
Articolo  32   Sicurezza  del  trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la  pseudonimizzazione e  la  cifratura dei  dati  personali;; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;; c) la  capacità  di  ripristinare tempestivamente la  disponibilità  e  l'accesso   dei  dati  personali  in  caso  di  incidente  fisico  o  tecnico;; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (segue  >)
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
Data  Breach:  Articolo  33 Notifica  di  una  violazione  dei  dati  personali   all'autorità  di  controllo • In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza • Tale notifica deve, tra l’altro: – descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione – descrivere le probabili conseguenze della violazione dei dati personali – descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
• Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo • Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni: – il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione, in particolare quelle destinate a rendere i dati personali incomprensibili – il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati – detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficaci Data  Breach:  Articolo  34 Comunicazione  di  una  violazione   dei  dati  personali  all'interessato
PRINCIPI  E  STRUMENTI  PER   LA  SICUREZZA  INFORMATICA Parte  quarta
Obiettivi   della  sicurezza  informatica • “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO 104559) • Requisiti: – Disponibilità – Integrità – Riservatezza • Finalità: garantire la continuità operativa, proteggere dati personali e sensibili, proteggere il know how legato alla professione, salvaguardare la Reputation
Una  politica  per  la  sicurezza • Per garantire la sicurezza in un sistema complesso, nel quale interagiscono più soggetti, occorre: – individuare correttamente  le  azioni  lecite  che  ciascun  soggetto  può   eseguire  in  riferimento  agli  oggetti  informatici – definire il sistema in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale da contrastare le possibili azioni illecite • Un politica della sicurezza deve valutare, con una metodologia di analisi e gestione dei rischi e le contromisure di tipo tecnico, logico, fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale
Contromisure • Contromisure  di  prevenzione,  che  hanno  l’obiettivo  di  impedire  che   il  rischio  si  manifesti,  controllando  i  punti  di  vulnerabilità  del  sistema   e  proteggendolo  dagli  attacchi • Contromisure  di  rilevazione/monitoraggio,  finalizzate  a  rilevare,  in   seguito  ad  un  attacco,  le  conseguenze  dannose  e  ad  accertare   eventuali  responsabilità • Contromisure  di  ripristino,  che  consentono  di  minimizzare  i  danni   con  la  riattivazione  tempestiva  del  sistema  e  delle  sue  funzionalità,   senza  perdita  di  dati.  Si  parla  di    Business  continuity planning e   Disaster recovery
Gestione  della  sicurezza • La  dimensione  dello  studio  non  determina  la  modalità  di  governo  del   dato,  quanto  piuttosto  l’entità  dell’investimento  per  gestire  una   complessità  maggiore • Ci  sono  valutazioni che  non  si  possono  omettere: – Disponibilità  di  specifiche,  di  documentazione  e  di  codice  sorgente  degli   strumenti  che  ci  propongono – Valutare  licenza  d’uso  per  prodotti  commerciali  e  le  condizioni  d’uso  e   qualora  di  decida  di  ricorrere  a  servizi  “gratuiti” – Portabilità  dei  dati – Dove  e  come  sono  memorizzati  dati  personali,  sensibili   – Tempo  di  ripristino – Punto  di  ripristino
Esempio   di  architettura  esternalizzata [Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
[Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
Dieci  punti  di  attenzione 1. Fattore umano: stampe incustodite, password non robuste, evitare di lasciare il proprio computer in disponibilità di terzi, consapevolezza delle tracce delle nostre attività, phishing, wi-­fi aperte, ecc. Può essere utile la redazione di policy di sicurezza per tutte le persone dello studio 2. Autorizzazioni: decidere quali autorizzazioni concedere ad un prefissato soggetto, valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione (Allegato B Codice Privacy, 12-­14) 3. Autenticazione o codici di accesso: impostare adeguate regole per imporre la scelta di pwd robuste, organizzare la scadenza delle pwd, adottare eventuali sistemi di autenticazione robusta (biometrica, token hw, ecc), attivazione di funzionalità di blocco anche per i dispositivi mobili (Allegato B Codice Privacy, 1-­10)
Dieci  punti  di  attenzione 4. Difesa perimetrale: per collegarsi a un access point, a un cavo di rete, a una connessione di terze parti è opportuno interporre una strumento di difesa perimetrale (il firewall) che filtra il traffico in base a regole predefinite 5. Aggiornamento sw: verificare il periodico aggiornamento dei sistemi operativi e del software di tutti i dispositivi, disattivare le funzioni non utilizzate 6. Protezione da virus e malware: installare programmi specifici e occuparsi della loro manutenzione 7. Gestione della memoria: tenere in considerazione l’usura dei supporti e l’evoluzione dei formati dati, custodire correttamente i supporti per evitare accessi non autorizzati (es. soluzione di cloud storage)
Dieci  punti  di  attenzione 8. Cancellazione sicura dei dati: Allegato B al Codice privacy (regole 21 e 22) e provvedimento del Garante sulla dismissione di rifiuti di apparecchiature elettriche e elettroniche del 2008. La cancellazione sicura di informazioni si ottiene con: – programmi informatici (wiping) che riscrivono ripetutamente sequenze casuali di 0 e 1 sopra allo spazio liberato (es. Eraser, WipeDisk, Permanet Eraser, DBAN ecc.) – formattazione (inizializzazione) a basso livello del supporto di memorizzazione – demagnetizzazione (degaussing)dei dispositivi magnetici – distruzione dei supporti (punzonatura, deformazione meccanica, ecc.) Ci sono strumenti di sync and share che garantiscono una disponibilità illimitata del dato!
Dieci  punti  di  attenzione 9. Cifratura dei dati: è possibile cifrare, un file, una cartella, una parte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o. dispongono di funzione di cifratura (FileVault, Bitlocker) che in maniera trasparente cifrano tutti i dati sul disco, programmi specifici (come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemi di Cloud pubblico nelle versioni professionali offrono servizi di cifratura dati del tutto trasparenti all’utente 10. Il backup: Stabilire cadenza temporale, quali dati, tempo di custodia dei dati, dove fare il backup (su Cloud, on line, su server, ecc.). Esistono dispositivi sofisticati che consentono un alto grado di automazione delle procedure di back up e restore. Attenzione: i sistemi di sync and share gratuiti effettuano il backup dei dati per un periodo limitato!
Apertura  e  trasparenza  come   requisiti  di  sicurezza • Apertura e trasparenza delle tecnologie utilizzate: maggior controllo del codice sorgente, peer review, non presenza di backdoor, conoscenza delle logiche nel trattamento e nella memorizzazione dei dati personali. La sicurezza viene da procedure robuste e non dalla segretezza • Evitare il lock in: passare dall’una all’altra soluzione informatica comporta costi elevati e di conseguenza l’utente tende a diventare prigioniero della tecnologia che ha adottato
Alcuni  riferimenti  bibliografici • AA.  VV.  Rapporto  Clusit 2015  sulla  sicurezza  ICT  in  Italia   • AA.VV.  Da  The  Hidden Data  Economy  (by  Intel  Security),  2015 • Bardari U.(2016)  Le  nuove  frontiere  del  crimine  informatico,  www.informaticaforense.it • Brighi  R.  (2012)  Sicurezza  informatica  e  amministratore  di  sistema  in  Informatica   giuridica  per  le  relazioni  aziendali,  Giappichelli • Cavoukian,  A.  (2009)  Privacy  by  Design.  The  7  Foundational Principles.  Toronto   http://www.privacybydesign.ca/index.php/about-­pbd/7-­foundationalprinciples/ • Federici  C.  (2016)  Cloud Computing:  principi  generali,  benefici  e  criticità,   www.informaticaforense.it. • Floridi,  L.  (2012),  La  rivoluzione  dell’informazione.  Codice  Edizioni • Maioli  C.  2015,  (a  cura  di)  Questioni  di  informatica  forense,  Aracne • Perri P,  2011,  Sicurezza  giuridica  e  sicurezza  informatica  in  Manuale   di  informatica   giuridica  e  diritto  delle  nuove  tecnologie,  Utet • Perri,  P.  2007,  Privacy,  Diritto  e  Sicurezza  informatica.  Giuffré Editore,  Milano • Santucci  G.  (a  cura  di),  2006  Linee  guida  alla  continuità  operativa  nella  Pubblica   Amministrazione,  i  Quaderni,  CNIPA,  n.  28 • Sartor G.  (2012).  Internet  e  il  diritto in  Temi  di  diritto  dell’informatica,  Giappichelli Editore • Ziccardi  G.  (2012).  L’avvocato  Hacker.  Per  un  uso  consapevole  delle  tecnologie.   Giuffré.
Raffaella Brighi CIRSFID  – Università di Bologna raffaella.brighi@unibo.it www.unibo.it

Recommended

Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 

Recommended

Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011Council of Europe
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011Council of Europe
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...Ist. Superiore Marini-Gioia - Enzo Exposyto
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSylvio Verrecchia - IT Security Engineer
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...marco scialdone
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...Ist. Superiore Marini-Gioia - Enzo Exposyto
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...SMAU
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 

More Related Content

What's hot

ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...Ist. Superiore Marini-Gioia - Enzo Exposyto
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...marco scialdone
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...Ist. Superiore Marini-Gioia - Enzo Exposyto
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...SMAU
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 

What's hot (20)

Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - SICUREZZA PER...
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - VALORE delle ...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 

Similar to Sicurezza informatica per le professioni legali

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityProf Web
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacypeste
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativiMarco Liverani
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 

Similar to Sicurezza informatica per le professioni legali (20)

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it security
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacy
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativi
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
All about cyber crime
All about cyber crimeAll about cyber crime
All about cyber crime
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica Amministrazione
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Cybercrime
CybercrimeCybercrime
Cybercrime
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 

Sicurezza informatica per le professioni legali

  • 1. La  sicurezza  informatica nelle  professioni  legali Fondazione  Forense  Ferrarese 10  giugno  2016 Raffaella  Brighi CIRSFID  e  Scuola  di  Giurisprudenza,  Università  di  Bologna
  • 2. Quattro  punti Parte  prima Informatica,  professionisti  e  dati  digitali Parte  seconda Minacce  e  vulnerabilità Parte  terza Rischi  informatici  legati  alla  professione  e  il  quadro   giuridico  di  riferimento Parte  quarta Principi  e  strumenti  per  la  sicurezza  informatica
  • 3. INFORMATICA,  PROFESSIONISTI  E DATI  INFORMATICI Parte  prima
  • 4. Il  professionista   e  i  nuovi  scenari  tecnologici • Dal Personal Computer a un complesso sistema di strumenti informatici organizzati tra loro: firme digitali, posta elettronica certificata, marche temporali, console dell’avvocato, bolli on line, ecc. • A ciò si aggiungono nuove opportunità, in termini di servizi, utilità, comodità: – App per smartphone e tablet – Il Cloud Computing – Il modello Bring Your Own Device (BYOD) – … e, in un futuro non molto lontano, cosa porterà l’Internet of Things al professionista forense?
  • 6. Uso  passivo  della  tecnologia • Si osserva una certa passività dell’utente che si limita ad utilizzare le funzioni base con scarsa conoscenza delle funzioni avanzate • I sistemi operativi moderni tendono a nascondere come operano gli strumenti per rendere più semplici all’utente ogni operazione • Degli strumenti impiegati è importante capire: – Le  caratteristiche  di  funzionamento  e  le  finalità – Le  condizioni d’uso – I  limiti degli  strumenti • Valutare preventivamente le risorse tecnologiche, sia in riferimento al corretto trattamento e protezione dei dati, sia nell’ottica di un’eventuale produzione in giudizio degli stessi
  • 7. Il  dato  digitale • Le attività di raccolta, organizzazione, conservazione e trasmissione dei dati costituiscono uno dei principali compiti dei sistemi informatici • In molte applicazioni i dati sono più stabili rispetto ai programmi utilizzati per elaborarli (problema del porting) • I dati registrati aumentano continuamente, ma la memoria digitale è assai fragile per ragioni tecniche (obsolescenza di hardware, software, piattaforme chiuse, ecc) e per vulnerabilità a virus e cyber attacchi
  • 9. Dato  =  Valore • I dati generati dalle nostre attività online – scambiati, integrati e aggregati dai sistemi informatici (sistemi predittivi, business analytics, data mining, ecc.) – assumono un ruolo centrale nei processi di decisione (Data Driven Economy) • Se è strategico comprendere il valore tutelato • Valore del dato: – per l’interessato – per altri soggetti (governi, aziende, assicurazioni, criminalità, ecc.) • Nella società della conoscenza, il dato deve essere salvaguardato attraverso opportune misure tecnologiche e giuridiche
  • 10. La  Hidden Data  economy: acquisto  di  dati  personali  nel  Deep Web Acquisto  di  dati  personali Da  The  Hidden Data  Economy  (by  Intel  Security),  2015   http://www.mcafee.com/us/resources/reports/rp-­hidden-­data-­economy.pdf
  • 11. Gli  hacker  hanno  rivelato   le  informazioni  private  dei   clienti  per  punire  l'azienda   sanitaria,  colpevole  di  non   aver  pagato  il  riscatto. [Report  di  McAfee  Labs del  2015]
  • 13. Minacce  e  vulnerabilità • Il tema della sicurezza informatica riguarda tutte le componenti del sistema informativo: l’hardware, il software, i dati e le persone • La minaccia rappresenta un’azione potenziale, accidentale o deliberata, che può portare alla violazione di uno o più obiettivi di sicurezza (agente esterno) • La vulnerabilità è un punto debole del sistema informativo che, se colpito o sfruttato da una minaccia, porta alla violazione di uno o più obiettivi di sicurezza • La misura del rischio cui è esposto un sistema informativo viene determinata dalla combinazione del valore dei beni, del livello delle minacce e del livello delle vulnerabilità
  • 14. Categorizzazione  delle  minacce Le minacce a un sistema informativo sono di diverso tipo e difficilmente enucleabili: • catastrofi naturali o incidenti imprevisti • attacchi  esterni  di  soggetti  interessati  a  compromettere  la  sicurezza   del  sistema  informativo,  per  sottrarre  informazioni,  creare  danni   rendendo  indisponibili  dati  o  strumenti • software  malevolo  (virus  o  malware) • errori  umani:  attività  scorrette  o  illecite  da  parte  di  personale  interno
  • 15. Le  nuove  cyber  minacce
  • 16. Tipologie  di  attacchi  esterni • Attacchi in grado di sfruttare specifiche debolezze di un programma software: exploit, buffer overflow, cracking • Attacchi in grado di sfruttare connessioni di rete e porte di accesso ai sistemi o di intervenire sul traffico in transito: backdoor, port scanning, sniffing, keylogging, spoofing, DoS/DDooS • Attacchi condotti con l’utilizzo di software malevolo: virus, trojan, spyware, ransomware • Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza da parte del personale di un’organizzazione, per accedere ad informazioni riservate: phishing, chiavette USB che veicolano Trojan, ecc.
  • 17. Profitto  del  Cybercrime • Profitto  indiretto:  costruzione  di  infrastrutture  di  attacco  affittate  e   vendute  (es.  Ransomware,  SpyEye);;  rivendita  di  informazioni,  codici   di  accesso,  carte  di  credito – con  grande  facilità  si  reperiscono  gli  strumenti  necessari  alla   generazione  dei  nuovi  software  malevoli – non  richieste  competenze  evolute • Profitto  diretto:  frodi  automatizzate,  ransomware,  finti  antivirus,   ecc.  
  • 18. Alcuni  dati  -­I [McAfee  Labs,  2016]
  • 19. Alcuni  dati  -­II [McAfee  Labs,  2016]
  • 21. Alcuni  dati  -­IV [McAfee  Labs,  2016]
  • 22. Ransomware • Sono software malevoli che infettano i pc e ne cifrano i contenuti chiedendo un riscatto per consegnare la chiave con cui decifrarli (es. Cryptolocker, Cryptowall o TorrentLocker, CTB-­Locker e TeslaCrypt) • Modalità di diffusione: – mail di phishing: false fatture o note di credito allegate al messaggio, codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc) o relative a bollette di gestori di energia (Enel Energia, ecc) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, ecc) – diffusione tramite siti ”bucati” – indirizzamento verso una cartella in Cloud da cui viene scaricato il malware
  • 23. Ransom con  phishing su  inchiesta   Procura  della  Repubblica [  fonte:  http://www.ransomware.it/]
  • 27. Trojan diffuso  tramite  falsa  querela   per  diffamazione  aggravata [  fonte:  http://www.ransomware.it/]
  • 28. I  rischi  del  mobile • Facilità di smarrimento e sottrazione;; scarso impiego di misure di blocco dello schermo e del dispositivo • Disomogeneità dei sistemi operativi;; numerose release da manutenere e carenza di funzionalità di sicurezza • Grande quantità di informazioni e funzionalità • Impiego di app non sempre controllate adeguatamente dai gestori degli store • Uso di protocolli di trasmissione (wifi, bluetooth) non riservati e spesso condivisi in luoghi pubblici con altri utenti
  • 29. RISCHI  INFORMATICI  LEGATI  ALLA   PROFESSIONE  E  QUADRO  GIURIDICO Parte  terza
  • 30. Consapevolezza  dei  rischi   informatici  legati  alla  professione I  rischi  riguardano  tutta  la  catena  degli  operatori: • dominio  delle  tecnologie  in  possesso  dell’avvocato   (personali  e  dello  studio) • dominio  dei  sistemi  informatici  imposti  dalle  istituzioni • capacità  di  gestire  correttamente  dati  e  comportamenti  di   terzi [Ziccardi,  2011]
  • 31. Alcuni  casi  di  cronaca • LECCE  -­ Allarme  in  Tribunale  per  il  furto  di  un  computer  all’interno   dell’ufficio  del  giudice  Fabrizio  Malagnino,  della  seconda  sezione   penale.  Nel  pc  erano  contenuti  dati  sensibili.  Indagano  carabinieri  e   polizia  [  Corriere  del  mezzogiorno,  15  ottobre  2015] • Catania,  ladri  alla  Corte  d’Appello,  Rubati  alcuni  computer  dell’Unep [La  Sicilia.it,  18  ottobre  2015] • S.M.  Capua  Vetere.  Furto  in  Tribunale,  sparito  il  computer  della   Camera  Penale  [Il  Mattino.it,  21  novembre  2015] • Tribunale  di  Padova,  furto  nell’ufficio  di  un  giudice.  Rubati  il  cellulare   e  il  pc  portatile  con  materiale  di  lavoro [Il  mattino  di  Padova,  29   gennaio  2016] Obblighi  di  diligenza,  segretezza  e  riservatezza  del  Codice  di   deontologia  forense
  • 32. Un  esperimento  del  2009 • Caso  di  hacking verso  gli  uffici  del  Tribunale  di  Milano  per  verificare   la  vulnerabilità  degli  uffici  giudiziari  dimostra  che  anche  un   attaccante  di  basso  profilo  può  violare  la  sicurezza  del  sistema   (Cajani,  2009)   • Il  patrimonio  informativo  va  pensato  come  un  bene  da  tutelare  con  i   migliori  mezzi  tecnologici!
  • 33. La  sicurezza  informatica   nel  quadro  giuridico • L’importanza della sicurezza informatica emerge in modo chiaro nella disciplina per la protezione dei dati personali (D.lgs 196 del 2003, in particolare Allegato B) • La  sicurezza  informatica  non  è  contemplata  solo  in  riferimento  alla   privacy  nel  nostro  ordinamento  ma  anche: – dal  CAD  (d.lgs.  n.  82  del  2005),  relativamente  alle  firme  elettroniche  e   digitali  e  alla  continuità  operativa  della  PA  (art.  50-­bis) – relativamente  ai  crimini  informatici  (art.  615-­ter  c.p.,  accesso  abusivo  a   sistema  informatico  o  telematico) – dalla  normativa  sul  diritto  d’autore  (l.  n.  633/41)  che  prevede  misure   tecnologiche  idonee  a  proteggere  le  opere  dell’ingegno  da  usi  non   consentiti  dall’autore
  • 34. Privacy  e  obblighi  di  sicurezza • Codice Privacy -­ la sicurezza non riguarda i sistemi ma i dati trattati • Il Codice privacy prevede due livelli di sicurezza: le misure minime di sicurezza (art 33 e ss.) e le misure idonee e preventive di sicurezza (art. 31) finalizzate a ”ridurre al minimo [.…] i rischi di distruzione o perdita, anche accidentale, dei dati [.…], di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” – le misure idonee sono adottate dal titolare tenendo conto di: 1) progresso tecnico, 2) natura dei dati oggetti del trattamento, 3) specifiche caratteristiche del trattamento – le misure minime sono volte ad assicurare un livello minimo di sicurezza • Discrimen fra responsabilità civile e responsabilità (anche) penale [Perri, 2007]
  • 35. Misure  minime  di  sicurezza (ex  art.  34  ) a) Autenticazione  informatica b) Adozione  di  procedure  di  gestione  delle  credenziali  di  autenticazione c) Utilizzazione  di  un  sistema  di  autorizzazione d) Aggiornamento  periodico  dell'individuazione  dell'ambito  del  trattamento   consentito  ai  singoli  incaricati  e  addetti  alla  gestione  o  alla  manutenzione   degli  strumenti  elettronici e) Protezione  degli  strumenti  elettronici  e  dei  dati  rispetto  a  trattamenti  illeciti  di   dati,  ad  accessi  non  consentiti  e  a  determinati  programmi  informatici f) Adozione  di  procedure  per  la  custodia  di  copie  di  sicurezza,  il  ripristino  della   disponibilità  dei  dati  e  dei  sistemi h Adozione  di  tecniche  di  cifratura  o  di  codici  identificativi  per  determinati   trattamenti  di  dati  idonei  a  rivelare  lo  stato  di  salute  o  la  vita  sessuale   effettuati  da  organismi  sanitari Indicazioni  specifiche  sono  contenute  nel  Disciplinare  tecnico  (Allegato  B)
  • 36. Nuova  normativa  EU • ll 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini • Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE • Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento • La Direttiva, invece, è vigente dal 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni [www.garanteprivacy.it]
  • 37. Un  primo  sguardo   al  Regolamento  EU • Protezione by design e by default Articolo  25 Protezione  dei  dati  fin  dalla  progettazione  e  protezione  per   impostazione  predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. (segue>)
  • 38. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
  • 39. I  principi   della  Privacy  by  Design 1) Essere proattivo non reattivo: la PbD ha come scopo la prevenzione piuttosto che il rimedio 2) La privacy come impostazione di default, ovvero come regola di base di un sistema IT 3) La privacy incorporata nella progettazione, cioè integrata dei sistemi informativi 4) Il perseguimento della massima funzionalità, intesa come valore positivo, non valore zero, quindi vantaggioso per tutti 5) La sicurezza fino alla fine e la piena protezione del ciclo di vita del dato 6) La visibilità e la trasparenza, dal momento che componenti ed operazioni delle tecnologie e delle prassi utilizzate devono sempre essere verificabili 7) Il rispetto per la privacy dell’utente e la centralità dell’utente, potenziate seguendo un approccio user-­centred
  • 40. Articolo  32   Sicurezza  del  trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la  pseudonimizzazione e  la  cifratura dei  dati  personali;; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;; c) la  capacità  di  ripristinare tempestivamente la  disponibilità  e  l'accesso   dei  dati  personali  in  caso  di  incidente  fisico  o  tecnico;; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (segue  >)
  • 41. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
  • 42. Data  Breach:  Articolo  33 Notifica  di  una  violazione  dei  dati  personali   all'autorità  di  controllo • In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza • Tale notifica deve, tra l’altro: – descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione – descrivere le probabili conseguenze della violazione dei dati personali – descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
  • 43. • Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo • Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni: – il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione, in particolare quelle destinate a rendere i dati personali incomprensibili – il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati – detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficaci Data  Breach:  Articolo  34 Comunicazione  di  una  violazione   dei  dati  personali  all'interessato
  • 44. PRINCIPI  E  STRUMENTI  PER   LA  SICUREZZA  INFORMATICA Parte  quarta
  • 45. Obiettivi   della  sicurezza  informatica • “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO 104559) • Requisiti: – Disponibilità – Integrità – Riservatezza • Finalità: garantire la continuità operativa, proteggere dati personali e sensibili, proteggere il know how legato alla professione, salvaguardare la Reputation
  • 46. Una  politica  per  la  sicurezza • Per garantire la sicurezza in un sistema complesso, nel quale interagiscono più soggetti, occorre: – individuare correttamente  le  azioni  lecite  che  ciascun  soggetto  può   eseguire  in  riferimento  agli  oggetti  informatici – definire il sistema in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale da contrastare le possibili azioni illecite • Un politica della sicurezza deve valutare, con una metodologia di analisi e gestione dei rischi e le contromisure di tipo tecnico, logico, fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale
  • 47. Contromisure • Contromisure  di  prevenzione,  che  hanno  l’obiettivo  di  impedire  che   il  rischio  si  manifesti,  controllando  i  punti  di  vulnerabilità  del  sistema   e  proteggendolo  dagli  attacchi • Contromisure  di  rilevazione/monitoraggio,  finalizzate  a  rilevare,  in   seguito  ad  un  attacco,  le  conseguenze  dannose  e  ad  accertare   eventuali  responsabilità • Contromisure  di  ripristino,  che  consentono  di  minimizzare  i  danni   con  la  riattivazione  tempestiva  del  sistema  e  delle  sue  funzionalità,   senza  perdita  di  dati.  Si  parla  di    Business  continuity planning e   Disaster recovery
  • 48. Gestione  della  sicurezza • La  dimensione  dello  studio  non  determina  la  modalità  di  governo  del   dato,  quanto  piuttosto  l’entità  dell’investimento  per  gestire  una   complessità  maggiore • Ci  sono  valutazioni che  non  si  possono  omettere: – Disponibilità  di  specifiche,  di  documentazione  e  di  codice  sorgente  degli   strumenti  che  ci  propongono – Valutare  licenza  d’uso  per  prodotti  commerciali  e  le  condizioni  d’uso  e   qualora  di  decida  di  ricorrere  a  servizi  “gratuiti” – Portabilità  dei  dati – Dove  e  come  sono  memorizzati  dati  personali,  sensibili   – Tempo  di  ripristino – Punto  di  ripristino
  • 49. Esempio   di  architettura  esternalizzata [Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
  • 50. [Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
  • 51. Dieci  punti  di  attenzione 1. Fattore umano: stampe incustodite, password non robuste, evitare di lasciare il proprio computer in disponibilità di terzi, consapevolezza delle tracce delle nostre attività, phishing, wi-­fi aperte, ecc. Può essere utile la redazione di policy di sicurezza per tutte le persone dello studio 2. Autorizzazioni: decidere quali autorizzazioni concedere ad un prefissato soggetto, valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione (Allegato B Codice Privacy, 12-­14) 3. Autenticazione o codici di accesso: impostare adeguate regole per imporre la scelta di pwd robuste, organizzare la scadenza delle pwd, adottare eventuali sistemi di autenticazione robusta (biometrica, token hw, ecc), attivazione di funzionalità di blocco anche per i dispositivi mobili (Allegato B Codice Privacy, 1-­10)
  • 52. Dieci  punti  di  attenzione 4. Difesa perimetrale: per collegarsi a un access point, a un cavo di rete, a una connessione di terze parti è opportuno interporre una strumento di difesa perimetrale (il firewall) che filtra il traffico in base a regole predefinite 5. Aggiornamento sw: verificare il periodico aggiornamento dei sistemi operativi e del software di tutti i dispositivi, disattivare le funzioni non utilizzate 6. Protezione da virus e malware: installare programmi specifici e occuparsi della loro manutenzione 7. Gestione della memoria: tenere in considerazione l’usura dei supporti e l’evoluzione dei formati dati, custodire correttamente i supporti per evitare accessi non autorizzati (es. soluzione di cloud storage)
  • 53. Dieci  punti  di  attenzione 8. Cancellazione sicura dei dati: Allegato B al Codice privacy (regole 21 e 22) e provvedimento del Garante sulla dismissione di rifiuti di apparecchiature elettriche e elettroniche del 2008. La cancellazione sicura di informazioni si ottiene con: – programmi informatici (wiping) che riscrivono ripetutamente sequenze casuali di 0 e 1 sopra allo spazio liberato (es. Eraser, WipeDisk, Permanet Eraser, DBAN ecc.) – formattazione (inizializzazione) a basso livello del supporto di memorizzazione – demagnetizzazione (degaussing)dei dispositivi magnetici – distruzione dei supporti (punzonatura, deformazione meccanica, ecc.) Ci sono strumenti di sync and share che garantiscono una disponibilità illimitata del dato!
  • 54. Dieci  punti  di  attenzione 9. Cifratura dei dati: è possibile cifrare, un file, una cartella, una parte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o. dispongono di funzione di cifratura (FileVault, Bitlocker) che in maniera trasparente cifrano tutti i dati sul disco, programmi specifici (come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemi di Cloud pubblico nelle versioni professionali offrono servizi di cifratura dati del tutto trasparenti all’utente 10. Il backup: Stabilire cadenza temporale, quali dati, tempo di custodia dei dati, dove fare il backup (su Cloud, on line, su server, ecc.). Esistono dispositivi sofisticati che consentono un alto grado di automazione delle procedure di back up e restore. Attenzione: i sistemi di sync and share gratuiti effettuano il backup dei dati per un periodo limitato!
  • 55. Apertura  e  trasparenza  come   requisiti  di  sicurezza • Apertura e trasparenza delle tecnologie utilizzate: maggior controllo del codice sorgente, peer review, non presenza di backdoor, conoscenza delle logiche nel trattamento e nella memorizzazione dei dati personali. La sicurezza viene da procedure robuste e non dalla segretezza • Evitare il lock in: passare dall’una all’altra soluzione informatica comporta costi elevati e di conseguenza l’utente tende a diventare prigioniero della tecnologia che ha adottato
  • 56. Alcuni  riferimenti  bibliografici • AA.  VV.  Rapporto  Clusit 2015  sulla  sicurezza  ICT  in  Italia   • AA.VV.  Da  The  Hidden Data  Economy  (by  Intel  Security),  2015 • Bardari U.(2016)  Le  nuove  frontiere  del  crimine  informatico,  www.informaticaforense.it • Brighi  R.  (2012)  Sicurezza  informatica  e  amministratore  di  sistema  in  Informatica   giuridica  per  le  relazioni  aziendali,  Giappichelli • Cavoukian,  A.  (2009)  Privacy  by  Design.  The  7  Foundational Principles.  Toronto   http://www.privacybydesign.ca/index.php/about-­pbd/7-­foundationalprinciples/ • Federici  C.  (2016)  Cloud Computing:  principi  generali,  benefici  e  criticità,   www.informaticaforense.it. • Floridi,  L.  (2012),  La  rivoluzione  dell’informazione.  Codice  Edizioni • Maioli  C.  2015,  (a  cura  di)  Questioni  di  informatica  forense,  Aracne • Perri P,  2011,  Sicurezza  giuridica  e  sicurezza  informatica  in  Manuale   di  informatica   giuridica  e  diritto  delle  nuove  tecnologie,  Utet • Perri,  P.  2007,  Privacy,  Diritto  e  Sicurezza  informatica.  Giuffré Editore,  Milano • Santucci  G.  (a  cura  di),  2006  Linee  guida  alla  continuità  operativa  nella  Pubblica   Amministrazione,  i  Quaderni,  CNIPA,  n.  28 • Sartor G.  (2012).  Internet  e  il  diritto in  Temi  di  diritto  dell’informatica,  Giappichelli Editore • Ziccardi  G.  (2012).  L’avvocato  Hacker.  Per  un  uso  consapevole  delle  tecnologie.   Giuffré.
  • 57. Raffaella Brighi CIRSFID  – Università di Bologna raffaella.brighi@unibo.it www.unibo.it