La sicurezza dei sistemi di elaborazione e delle reti informatiche.
1. Modulo 1 - La sicurezza dei
sistemi di elaborazione e delle reti
informatiche.
La sicurezza
informatica
Relatore : Giuseppe Morelli
2. Con la diffusione delle tecnologie
informatiche, utilizzate da un numero
sempre crescente di persone per svolgere
una gamma sempre più ampia di attività, è
nata la necessità di
garantire
la sicurezza dei dati
Concetti di sicurezza
3. Nelle società la realizzazione del singolo individuo
si raggiunge attraverso la fiducia reciproca.
La progettazione di un sistema di sicurezza
implica meccanismi per:
L’identificazione
L’autenticazione
L’autorizzazione
di persone fidate
La Sicurezza è fondata sulla
fiducia
4. La quantità di sicurezza che si può ottenere
dipende da ciò a cui si può rinunciare pur di
ottenerla.
La valutazione deve tener conto di:
pericoli: i modi in cui un malintenzionato
può nuocere a un sistema.
rischi: una combinazione fra le probabilità
che un evento pericoloso effettivamente
avvenga e e la gravità delle conseguenze
dell’attacco, se portato a termine.
La Sicurezza richiede compromessi
5. Per Sicurezza informatica si intende quel
ramo dell'informatica che si occupa
dell'analisi delle vulnerabilità, del rischio,
delle minacce o attacchi e quindi della
protezione dell'integrità fisica (hardware) e
logico-funzionale (software) di un sistema
informatico e dei dati in esso contenuti o
scambiati in una comunicazione con un
utente.
Sicurezza informatica
6. È un processo continuo
Non esistono soluzioni sempre valide
o preconfezionate
Non esiste sicurezza assoluta...
Sicurezza informatica
7. La protezione è ottenuta attraverso misure di
carattere tecnico-organizzativo e funzionali tese
ad assicurare:
la correttezza dei dati (integrità);
la confidenzialità dei dati (cifratura);
l'accesso fisico e/o logico solo ad utenti
autorizzati (autenticazione);
la fruizione di tutti e soli i servizi previsti per
quell'utente nei tempi e nelle modalità previste
dal sistema (disponibilità);
la protezione del sistema da attacchi di
software malevoli per garantire i precedenti
requisiti.
Sicurezza informatica
8. Tutti gli utilizzatori di tecnologie
informatiche dovrebbero, quindi, vigilare
sulle minacce alla sicurezza IT, quali:
virus
phishing
hacker
frodi on line
furti d’identità
Minacce alla sicurezza
9. Per proteggere se stessi ed i propri dati da
tali minacce dovrebbero:
Possedere adeguate competenze e
conoscenze che consentono di
identificare e affrontare le minacce alla
sicurezza IT.
Usare prodotti di sicurezza IT.
Minacce alla sicurezza
10. In Informatica le parole:
hanno 2 significati diversi:
Il dato è un numero, una parola,
un’immagine, ecc. che ancora deve
essere elaborato;
Elaborando i dati si ottengono le
informazioni.
l DATO l INFORMAZIONE
Minacce ai dati
11. Una persona che utilizza un sistema
informatico per conservare, elaborare e
gestire i propri dati corre essenzialmente
2 rischi:
Rischi
l La
modifica
dei Dati
l IL furto
dei Dati
12. L’accesso non autorizzato ad un database
Intercettazione illecita delle comunicazioni
Danneggiamento
Cancellazione
Alterazione
Interferire con il funzionamento del sistema
informatico
Frodi elettroniche
Furti d’identità
Crimini informatici
13. Per furto d’identità intendiamo che
qualcuno riesce a carpire le nostre
informazioni personali e quindi può
fare acquisti on line e atti illeciti
Furto d’identita’
14. Insieme dei metodi, delle tecniche e delle
operazioni informatiche che una persona,
detta per questo HACKER, utilizza per
neutralizzare le difese informatiche di
banche di dati, reti di dati, sistemi
operativi, computer.
Hacking
15. Sfrutta le capacità degli hacker per
migliorare la sicurezza di un sistema
informatico.
Infatti molte aziende chiedono agli hacker
di individuare punti deboli del sistema
informatico per sviluppare soluzioni che
possono migliorare i livelli di sicurezza del
sistema stesso.
L’Hacking etico
16. Sono attività criminali, cioè quando si
usano le tecniche di hacking per violare
sistemi informatici al fine di sottrarre dati o
danneggiarli.
Il delinquente è detto CRACKER.
Cracking
17. Le minacce ai dati possono essere
classificate secondo la loro origine che può
essere:
NATURALE
ACCIDENTALE
DELIBERATA
Le minacce ai dati
19. Possono essere dovute a:
ERRORI involontari commessi da:
UTENTI
PERSONALE addetto alla manutenzione
ACCIDENTALI
20. Da chi possono essere messe in atto: CHI?
• personale interno alla scuola
• fornitori di servizi
• agenti esterni
Quali sono: COSA?
furti di Hardware e Software
Accessi illegali alla rete
Uso illegale di software
Copia non autorizzata di dati
DELIBERATE
21. Qualunque programma che si occupi di
preservare la sicurezza delle informazioni,
persegue, in qualche misura, tre obiettivi
fondamentali:
La disponibilità
L’integrità
La riservatezza o confidenzialità
La sicurezza delle
informazioni
22. L’inacessibilità alle informazioni si può avere
per diverse cause:
Disastri naturali (Incendio-allagamento)
Guasti interni Hardware e software(Errori
accidentali,Blackout, disastri)
Attacchi esterni ad esempio provenienti da internet
DoS(Denial of service).
Disponibilità
23. Alcuni degli strumenti che servono a mantenere la
DISPONIBILITA’ Sono:
Sistemi di Backup locale o Remoto.
Ridondanza dell’hardware e degli archivi.
Firewall e router configurati per neutralizzare attacchi.
Gruppi di continuità, controllo dell’accesso fisico.
Disponibilità
24. Per le informazioni l’INTEGRITA‘ viene meno
quando i dati sono alterati,cancellati,per errore
o per dolo.
Autenticazione e controllo degli accessi sono
meccanismi di prevenzione all’integrità.
Un esempio: quando in un database, si perde
la coerenza tra i dati in relazione tra loro.
Integrità
25. Consiste nel limitare l’accesso alle
informazioni e alle risorse hardware alle sole
persone autorizzate.
La Riservatezza delle informazioni può essere
garantita sia nascondendo l’informazione
(Crittografia).
Sia nascondendo la relazione tra i dati che la
compongono.
Riservatezza
26. La Riservatezza delle informazioni non dipende
solo da strumenti Hardware e software;
Il fattore umano gioca un ruolo chiave quando
vengono ignorate le elementari regole di
comportamento:
Tenere le password segrete.
Controllare gli accessi a reti e sistemi.
Rifiutare informazioni a sconosciuti(anche
quando affermano di essere tecnici della
manutenzione).
Riservatezza
Molti credono che l’utilizzo di misure quali firewall e software anti-virus impediscano del tutto le minacce alla sicurezza sia interne sia esterne, tuttavia, l’efficacia delle tecnologie destinate a garantire la sicurezza dipende, in ultima analisi, dalla loro effettiva implementazione e dal comportamento di chi le implementa ed utilizza. La loro azione è resa più efficace fornendo agli utenti stessi le competenze e le conoscenze per riconoscere le minacce più comuni e intraprendere azioni preventive. Attraverso la capacità di individuare e comprendere i concetti principali alla base di un uso sicuro della Tecnologia dell’Informazione e Comunicazione (ICT) nella vita quotidiana, la conoscenza delle necessarie capacità e conoscenze per mantenere una rete di connessione sicura e dell’utilizzo di Internet, gli utenti del computer saranno quindi in grado di proteggere i propri dati e quelli dell’organizzazione per la quale lavorano.
I dati sono numeri o altro (immagini, testo, ecc…) che rappresentano fatti o eventi non ancora organizzati. Le informazioni sono dati organizzati in modo da essere comprnsibili e significativi per l’utente.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.
Disponibilità: cioè le informazioni e le risorse informatiche devono essere accessibili agli utenti che ne hanno aderito quando questi utenti ne hanno bisogno
L’integrità: cioè la correttezza, completezza, coerenza, affidabilità delle informazioni. Per esempio si deve poter verificare che nel corso di una trasmissione i dati non siano stati danneggiati.
La riservatezza o confidenzialità che consiste nel limitare l’accesso all’informazione e alle risorse informatiche alle sole persone autorizzate.