2. Sicurezza
Dimensione culturale. La sicurezza è parte
integrante della produzione di valore;
Trasmettere una consapevolezza: la sicurezza
non è solo un fatto tecnico
Dimensione metodologica. Fornire una
visione integrata di tutti gli aspetti che
concorrono alla gestione del rischio
informativo.
3. Sistema Informativo
Dati Procedure
Mezzi Persone
E’ un sistema: non è importante solo il singolo pezzo.
5. Cultura della sicurezza
Modifica dei comportamenti;
Modifica della progettazione e dell’uso dei
sistemi informativi e delle reti;
Siamo sempre più dipendenti dai sistemi
d’informazione,
dalle reti e dai servizi a loro collegati, i quali
devono essere tutti affidabili e sicuri.
6. Sicurezza e gestione del rischio
in generale
Sicurezza =
Disciplina che si occupa della predisposizione
di misure di protezione e tutela dell’impresa
da atti ed eventi di natura “non competitiva”
(atti dolosi, colposi, eventi naturali, incidenti
di vario genere) che possono ricadere in
modo negativo o catastrofico sulla capacità
aziendale di perseguire le proprie finalità, e
cioè di soddisfare le attese che gli
stakeholders ripongono in essa.
7. Sicurezza: obiettivi e tipologie di
interventi
Obiettivo di fondo: elaborare misure idonee a
• fronteggiare i rischi a cui è soggetta l’attività di impresa;
• contenere il loro eventuale impatto negativo sulle performance;
Tipologie di interventi:
• Preventivi, atti cioè a eliminare o eludere le cause determinanti gli “
incidenti” (cioè il trasformarsi di rischi potenziali in eventi dannosi), a
ridurre le loro probabilità di evenienza o a limitarne l’eventuale
dannosità.
• Contestuali all’incidente. Si tratta delle attività tese alla rilevazione e alla
gestione di eventi dannosi nel momento in cui si manifestano.
• Susseguenti all’incidente. Ci si riferisce al complesso di attività che si
rendono necessarie per ristabilire la situazione precedente a un
incidente.
8. Rischio e danno potenziale
RISCHIO = f (DANNO POTENZIALE, PROBABILITÀ)
Danno: diminuzione o perdita di valore di una risorsa a seguito di un
incidente.
Danno diretto: consiste tipicamente nel valore patrimoniale della risorsa
violata, manipolata, sottratta o distrutta (ad esempio la formula di un
prodotto, un’auto del parco aziendale o il contenuto di un database).
Danno indiretto: è associato in prima istanza al ripristino di una situazione
di piena operatività, e quindi all’impiego di risorse incrementali (persone,
tempo), a seguito di un malfunzionamento. Questa tipologia di danni
diviene ancora più consistente laddove una eventuale interruzione del
servizio conseguente all’attacco subito dovesse causare anche una
perdita di fatturato. Si tratta quindi, in ogni caso, di danni di tipo
reddituale.
Danno consequenziale: connesso alla possibilità che l’attacco subito
abbia delle implicazioni negative sull’immagine dell’azienda colpita.
10. Le scelte di gestione del rischio
Focus Strategia
PREVENZIONE
MINACCIA
(ELUSIONE)
DANNO REATTIVITA’
CONSEGUENZE RITENZIONE O
FINANZIARIE TRASFERIMENTO
11. Il rischio informativo
Nella società dell’informazione il rischio
che preoccupa di più è quello legato alla
perdita di informazione
12. Ruolo strategico
dell’informatica
Tecnologia per il miglioramento dei processi.
Strumento per l’innovazione dei
processi/prodotti.
Tecnologia per la costituzione di un
patrimonio di conoscenze immateriali.
13. Informatica: il contesto
Crescita delle applicazioni su reti aperte
anche per la PA;
Affermazione di internet come sistema di
scambio informazioni;
Obbligo normativo per la PA che deve fornire
servizi che garantiscano:
Riservatezza, integrità, disponibilità, autenticità;
Trattamento dei dati personali in modo conforme
alla normativa;
14. Nuovi scenari: aspetti normativi
Diversi atti legislativi hanno modificato fortemente il quadro di riferimento
normativo, ampliando le aree di responsabilità delle aziende e obbligandole
a mantenere comportamenti di tutela ritenuti socialmente corretti:
• Riservatezza dei dati personali
• Tutela del software, Diritto d’autore
• Autenticazione e Firma digitale
• Contratti informatici
• etc.
Anche il Governo si è impegnato per stimolare l’adeguamento della P.A. alle
impellenti esigenze di sicurezza (es. Direttiva Presidente Consiglio dei
Ministri 16/01/02: “Le informazioni gestite dai Sistemi Informativi Pubblici
costituiscono una risorsa di valore strategico per il Governo del Paese”,
“…assume quindi importanza fondamentale valutare il rischio connesso con
la gestione delle informazioni e dei sistemi…si raccomanda pertanto a tutte
le pubbliche amministrazioni di avviare nell’immediato alcune azioni
prioritarie”).
15. Nuovi scenari: varietà delle
minacce
Complessità delle tecnologie;
Valore intangibile crescente; Computer crime;
Interazioni frequenti/costanti Frode informatica;
con attori esterni (partner, Sabotaggio;
outsources); Accesso non autorizzato;
Attività contemporanea su più Perdita di knowhow;
fronti; Rilascio inconsapevole di
Scelte compiute in contesti informazioni;
incerti e variabili; Riproduzione non autorizzata;
Personale inesperto, Uso non autorizzato di HW e SW;
immotivato, demotivato;
Violazione della riservatezza;
Crescente necessità di
integrazione tra i sistemi;
Sostituzione di identità;
Incertezza normativa;
…
Globalizzazione;
…
16. Misure tecniche: un quadro generale
FISICHE LOGICHE
REATTIVE PREVENTIVE
Localizzazione sala macchine; Autenticazione;
Sorveglianza; Autorizzazione;
Materiali ignifughi, … Crittografia;
Controllo accessi ai sistemi; Antivirus;
Firewall, Network scanning Firma digitale
Estintori, sistemi antifurto;
Antivirus;
Sistemi di continuità;
Backup (dati/informazioni, sw)
Backup (mezzi, persone,
linee di comunicazione);
Network management;
Intrusion detection systems
17. Misure organizzative e misure
tecniche
Le misure tecniche sono finalizzate a prevenire gli incidenti e/o a
ripristinare la situazione exante a seguito di un incidente, e
possono essere classificate in funzione delle tipologie di risorse
del sistema – fisiche o logiche – che hanno lo scopo di
proteggere.
Le misure tecniche, tuttavia, non sono dipersé sufficienti a
garantire un adeguato livello di protezione del patrimonio
informativo aziendale. Le ragioni di questa affermazione possono
essere così sintetizzate:
•il loro scopo consiste essenzialmente nel ridurre le vulnerabilità,
trascurando l’esigenza di operare anche a livello organizzativo al
fine di ridurre le minacce;
•esse presuppongono, inoltre, l’adozione di misure organizzative
finalizzate alla loro gestione, in assenza delle quali possono
addirittura, paradossalmente, trasformarsi in elementi di vulnerabilità.
18. Misure preventive per la IS
PREVENTIVE
PIANIFICAZIONE DELLE MISURE DI INFORMATION SECURITY
PREVENZIONE/LIMITAZIONE DI COMPORTAMENTI MINACCIOSI
•Definizione di compiti/procedure e profili (privilegi)
•Separazione dei compiti
•Sviluppo della cultura di security e del sistema di responsabilità
•Mantenimento dell’atmosfera e partecipazione
LEVA SULLE VARIABILI DI INTEGRAZIONE
•Formazione, addestramento
•Rotazione delle mansioni
•Ruoli di integrazione (PM, …)
REATTIVE
MECCANISMI DI CONTROLLO E AUDITING
SVILUPPO DELLA CAPACITÀ DI REAZIONE/APPRENDIMENTO
GESTIONE DEI COMPORTAMENTI NON ETICI
19. Codice in materia di
protezione dei dati
personali
Misure minime di sicurezza: art. 33, 34
e Allegato B;
20. Misure di sicurezza
Rischi individuati dalla legge:
Distruzione o perdita anche accidentale dei dati;
Accesso non autorizzato;
Trattamento non consentito o non conforme alla
finalità della raccolta.
21. Misure minime di sicurezza
Autenticazione informatica;
Adozione di procedure di gestione delle credenziali di
autenticazione;
Utilizzazione di un sistema di autorizzazione;
Aggiornamento periodico dell’individuazione dell’ambito di
trattamento degli incaricati;
Protezione degli strumenti elettronici e dei dati;
Adozione di procedure per la custodia di copie di sicurezza;
Adozione di procedure per il ripristino della disponibilità dei dati e
dei sistemi;
Tenuta del Documento Programmatico per la Sicurezza (DPS);
Adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rilevare lo stato di salute e
la vita sessuale effettuati da organismi sanitari;
22. Misure minime di sicurezza per
trattamenti effettuati senza
l’ausilio di mezzi elettronici
Aggiornamento periodico dell’ambito di
individuazione del trattamento;
Previsione di procedura per un’idonea custodia
di atti e documenti affidati agli incaricati;
Previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato
e disciplina delle modalità di accesso
23. Definizioni
Dato personale
Dato anonimo
Dati identificativi
Dati sensibili
Trattamento
Comunicazione
Diffusione
Autenticazione informatica
Autorizzazione
Parola chiave
24. Dato personale
Qualunque informazione riferibile ad una
persona fisica o giuridica, ente o
associazione, in via diretta o mediata
25. Dato anonimo
Il dato che in origine o a seguito di
trattamento non può essere associato ad un
interessato identificato o identificabile
I dati anonimi non rientrano nell’ambito di
applicazione del d. lgs. 196/2003
26. Dati identificativi
I dati personali che permettono
l’identificazione diretta dell’interessato
27. Dati sensibili
Sono i dati idonei a rivelare:
l’origine razziale ed etnica
le convinzioni religiose, filosofiche e politiche
l’adesione a partiti, sindacati, associazioni
lo stato di salute
la vita sessuale
29. Comunicazione
Dare conoscenza a persona determinata
diversa dall’interessato, dal responsabile e
dall’incaricato
30. Diffusione
Dare conoscenza a soggetti indeterminati: ad
esempio, la pubblicazione
31. Autenticazione informatica
Autenticazione: l’insieme degli strumenti elettronici
e delle procedure per la verifica anche indiretta
dell’identità
credenziali di autenticazione: i dati e i dispositivi,
in possesso di una persona, da questa conosciuti e
ad essa univocamente correlati, utilizzati per
l’autenticazione informatica
Secondo il d.p.r. 445/2000, modificato dal d.p.r.
137/2003 costituisce “firma elettronica“ (non è
sinonimo di “firma digitale”) “l’insieme dei dati in
forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati
come metodo di autenticazione informatica”
32. Autenticazione informatica
il codice per l’identificazione non può essere assegnato
ad altri incaricati, neppure in tempi diversi
le credenziali di autenticazione sono disattivate se non
utilizzate da almeno sei mesi
le credenziali di autenticazione sono disattivate in caso
di perdita della qualità
Sono impartite agli incaricati istruzioni per non lasciare
incustodito e accessibile lo strumento elettronico durante
la sessione di trattamento
istruzioni per assicurare la disponibilità dei dati in caso di
assenza dell’incaricato
33. Autorizzazione
Sono impartite agli incaricati istruzioni per non
lasciare incustodito e accessibile lo strumento
elettronico durante la sessione di trattamento
istruzioni per assicurare la disponibilità dei dati in
caso di assenza dell’incaricato
Individuazione dei profili per ciascun incaricato o
classi di incaricati
periodicamente occorre verificare la sussistenza
delle condizioni per la conservazione dei profili
34. Parola chiave
Composta da almeno otto caratteri non deve
contenere riferimenti agevolmente
riconducibili all’incaricato
dev’essere modificata al primo utilizzo
successivamente ogni 6/3 mesi
35. Conclusioni
La sicurezza non è un prodotto, è un
processo;
La sicurezza non è un problema di
competenza ma di responsabilità;