Slide sulla sicurezza informatica usate nel master in "Metodi e tecniche di prevenzione e controllo ambientale" AA 2008-2009

1. Sicurezza delle
informazioni

2. Sicurezza
 Dimensione culturale. La sicurezza è parte
integrante della produzione di valore;
 Trasmettere una consapevolezza: la sicurezza
non è solo un fatto tecnico
 Dimensione metodologica. Fornire una
visione integrata di tutti gli aspetti che
concorrono alla gestione del rischio
informativo.

3. Sistema Informativo
Dati Procedure
Mezzi Persone
E’ un sistema: non è importante solo il singolo pezzo.

4. Sicurezza e gestione
del rischio in generale

5. Cultura della sicurezza
 Modifica dei comportamenti;
 Modifica della progettazione e dell’uso dei
sistemi informativi e delle reti;
Siamo sempre più dipendenti dai sistemi
d’informazione,
dalle reti e dai servizi a loro collegati, i quali
devono essere tutti affidabili e sicuri.

6. Sicurezza e gestione del rischio
in generale
Sicurezza =
Disciplina che si occupa della predisposizione
di misure di protezione e tutela dell’impresa
da atti ed eventi di natura “non competitiva”
(atti dolosi, colposi, eventi naturali, incidenti
di vario genere) che possono ricadere in
modo negativo o catastrofico sulla capacità
aziendale di perseguire le proprie finalità, e
cioè di soddisfare le attese che gli
stakeholders ripongono in essa.

7. Sicurezza: obiettivi e tipologie di
interventi
Obiettivo di fondo: elaborare misure idonee a
• fronteggiare i rischi a cui è soggetta l’attività di impresa;
• contenere il loro eventuale impatto negativo sulle performance;
Tipologie di interventi:
• Preventivi, atti cioè a eliminare o eludere le cause determinanti gli “
incidenti” (cioè il trasformarsi di rischi potenziali in eventi dannosi), a
ridurre le loro probabilità di evenienza o a limitarne l’eventuale
dannosità.
• Contestuali all’incidente. Si tratta delle attività tese alla rilevazione e alla
gestione di eventi dannosi nel momento in cui si manifestano.
• Susseguenti all’incidente. Ci si riferisce al complesso di attività che si
rendono necessarie per ristabilire la situazione precedente a un
incidente.

8. Rischio e danno potenziale
RISCHIO = f (DANNO POTENZIALE, PROBABILITÀ)
Danno: diminuzione o perdita di valore di una risorsa a seguito di un
incidente.
Danno diretto: consiste tipicamente nel valore patrimoniale della risorsa
violata, manipolata, sottratta o distrutta (ad esempio la formula di un
prodotto, un’auto del parco aziendale o il contenuto di un database).
Danno indiretto: è associato in prima istanza al ripristino di una situazione
di piena operatività, e quindi all’impiego di risorse incrementali (persone,
tempo), a seguito di un malfunzionamento. Questa tipologia di danni
diviene ancora più consistente laddove una eventuale interruzione del
servizio conseguente all’attacco subito dovesse causare anche una
perdita di fatturato. Si tratta quindi, in ogni caso, di danni di tipo
reddituale.
Danno consequenziale: connesso alla possibilità che l’attacco subito
abbia delle implicazioni negative sull’immagine dell’azienda colpita.

9. Gestione del rischio
Metodologia strutturata, sviluppatasi storicamente nel settore assicurativo, tesa a mettere a
fuoco le modalità di identificazione e di gestione consapevole dei rischi.
Fasi tipiche per la “gestione del rischio”:
1. Identificazione delle vulnerabilità. Consiste nel censimento e nella classificazione delle
risorse aziendali soggette a possibili incidenti in grado di diminuirne o azzerarne il valore.
2. Identificazione delle minacce. È il processo attraverso cui si identificano potenziali
minacce (anche scarsamente visibili e con bassissime possibilità di evenienza).
3. Misurazione dei rischi. Consiste nella valutazione dell’impatto potenziale sull’impresa
nell’ipotesi in cui una determinata combinazione di vulnerabilità e minaccia si trasformi in
un evento negativo; tale valutazione dipende dal prodotto di due fattori: la probabilità di
evenienza e le dimensioni dell’impatto.
4. Determinazione delle priorità di intervento. Concerne l’identificazione delle priorità
sulle cui basi orientare gli sforzi di protezione. Ovviamente, particolare attenzione verrà
data agli eventi catastrofici con elevate probabilità di avvenimento, mentre minore
attenzione verrà prestata ai rischi con impatti contenuti o irrilevanti e di scarsa frequenza.
5. Scelte di gestione dei rischi. È la fase conclusiva in cui si determinano le modalità di
gestione dei rischi (prevenzione, reattività, ritenzione, trasferimento).

10. Le scelte di gestione del rischio
Focus Strategia
PREVENZIONE
MINACCIA
(ELUSIONE)
DANNO REATTIVITA’
CONSEGUENZE RITENZIONE O
FINANZIARIE TRASFERIMENTO

11. Il rischio informativo
Nella società dell’informazione il rischio
che preoccupa di più è quello legato alla
perdita di informazione

12. Ruolo strategico
dell’informatica
 Tecnologia per il miglioramento dei processi.
Strumento per l’innovazione dei
processi/prodotti.
 Tecnologia per la costituzione di un
patrimonio di conoscenze immateriali.

13. Informatica: il contesto
 Crescita delle applicazioni su reti aperte
anche per la PA;
 Affermazione di internet come sistema di
scambio informazioni;
 Obbligo normativo per la PA che deve fornire
servizi che garantiscano:
 Riservatezza, integrità, disponibilità, autenticità;
 Trattamento dei dati personali in modo conforme
alla normativa;

14. Nuovi scenari: aspetti normativi
Diversi atti legislativi hanno modificato fortemente il quadro di riferimento
normativo, ampliando le aree di responsabilità delle aziende e obbligandole
a mantenere comportamenti di tutela ritenuti socialmente corretti:
• Riservatezza dei dati personali
• Tutela del software, Diritto d’autore
• Autenticazione e Firma digitale
• Contratti informatici
• etc.
Anche il Governo si è impegnato per stimolare l’adeguamento della P.A. alle
impellenti esigenze di sicurezza (es. Direttiva Presidente Consiglio dei
Ministri 16/01/02: “Le informazioni gestite dai Sistemi Informativi Pubblici
costituiscono una risorsa di valore strategico per il Governo del Paese”,
“…assume quindi importanza fondamentale valutare il rischio connesso con
la gestione delle informazioni e dei sistemi…si raccomanda pertanto a tutte
le pubbliche amministrazioni di avviare nell’immediato alcune azioni
prioritarie”).

15. Nuovi scenari: varietà delle
minacce
 Complessità delle tecnologie;
 Valore intangibile crescente;  Computer crime;
 Interazioni frequenti/costanti  Frode informatica;
con attori esterni (partner,  Sabotaggio;
outsources);  Accesso non autorizzato;
 Attività contemporanea su più  Perdita di know­how;
fronti;  Rilascio inconsapevole di
 Scelte compiute in contesti informazioni;
incerti e variabili;  Riproduzione non autorizzata;
 Personale inesperto,  Uso non autorizzato di HW e SW;
immotivato, demotivato;
 Violazione della riservatezza;
 Crescente necessità di
integrazione tra i sistemi;
 Sostituzione di identità;
 Incertezza normativa;
 …
 Globalizzazione;
 …

16. Misure tecniche: un quadro generale
FISICHE LOGICHE
REATTIVE PREVENTIVE
Localizzazione sala macchine; Autenticazione;
Sorveglianza; Autorizzazione;
Materiali ignifughi, … Crittografia;
Controllo accessi ai sistemi; Anti­virus;
Firewall, Network scanning Firma digitale
Estintori, sistemi antifurto;
Anti­virus;
Sistemi di continuità;
Back­up (dati/informazioni, sw)
Back­up (mezzi, persone,
linee di comunicazione);
Network management;
Intrusion detection systems

17. Misure organizzative e misure
tecniche
Le misure tecniche sono finalizzate a prevenire gli incidenti e/o a
ripristinare la situazione ex­ante a seguito di un incidente, e
possono essere classificate in funzione delle tipologie di risorse
del sistema – fisiche o logiche – che hanno lo scopo di
proteggere.
Le misure tecniche, tuttavia, non sono di­per­sé sufficienti a
garantire un adeguato livello di protezione del patrimonio
informativo aziendale. Le ragioni di questa affermazione possono
essere così sintetizzate:
•il loro scopo consiste essenzialmente nel ridurre le vulnerabilità,
trascurando l’esigenza di operare anche a livello organizzativo al
fine di ridurre le minacce;
•esse presuppongono, inoltre, l’adozione di misure organizzative
finalizzate alla loro gestione, in assenza delle quali possono
addirittura, paradossalmente, trasformarsi in elementi di vulnerabilità.

18. Misure preventive per la IS
PREVENTIVE
PIANIFICAZIONE DELLE MISURE DI INFORMATION SECURITY
PREVENZIONE/LIMITAZIONE DI COMPORTAMENTI MINACCIOSI
•Definizione di compiti/procedure e profili (privilegi)
•Separazione dei compiti
•Sviluppo della cultura di security e del sistema di responsabilità
•Mantenimento dell’atmosfera e partecipazione
LEVA SULLE VARIABILI DI INTEGRAZIONE
•Formazione, addestramento
•Rotazione delle mansioni
•Ruoli di integrazione (PM, …)
REATTIVE
MECCANISMI DI CONTROLLO E AUDITING
SVILUPPO DELLA CAPACITÀ DI REAZIONE/APPRENDIMENTO
GESTIONE DEI COMPORTAMENTI NON ETICI

19. Codice in materia di
protezione dei dati
personali
Misure minime di sicurezza: art. 33, 34
e Allegato B;

20. Misure di sicurezza
 Rischi individuati dalla legge:
 Distruzione o perdita anche accidentale dei dati;
 Accesso non autorizzato;
 Trattamento non consentito o non conforme alla
finalità della raccolta.

21. Misure minime di sicurezza
 Autenticazione informatica;
 Adozione di procedure di gestione delle credenziali di
autenticazione;
 Utilizzazione di un sistema di autorizzazione;
 Aggiornamento periodico dell’individuazione dell’ambito di
trattamento degli incaricati;
 Protezione degli strumenti elettronici e dei dati;
 Adozione di procedure per la custodia di copie di sicurezza;
 Adozione di procedure per il ripristino della disponibilità dei dati e
dei sistemi;
 Tenuta del Documento Programmatico per la Sicurezza (DPS);
 Adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rilevare lo stato di salute e
la vita sessuale effettuati da organismi sanitari;

22. Misure minime di sicurezza per
trattamenti effettuati senza
l’ausilio di mezzi elettronici
 Aggiornamento periodico dell’ambito di
individuazione del trattamento;
 Previsione di procedura per un’idonea custodia
di atti e documenti affidati agli incaricati;
 Previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato
e disciplina delle modalità di accesso

23. Definizioni
 Dato personale
 Dato anonimo
 Dati identificativi
 Dati sensibili
 Trattamento
 Comunicazione
 Diffusione
 Autenticazione informatica
 Autorizzazione
 Parola chiave

24. Dato personale
 Qualunque informazione riferibile ad una
persona fisica o giuridica, ente o
associazione, in via diretta o mediata

25. Dato anonimo
 Il dato che in origine o a seguito di
trattamento non può essere associato ad un
interessato identificato o identificabile
 I dati anonimi non rientrano nell’ambito di
applicazione del d. lgs. 196/2003

26. Dati identificativi
 I dati personali che permettono
l’identificazione diretta dell’interessato

27. Dati sensibili
 Sono i dati idonei a rivelare:
 l’origine razziale ed etnica
 le convinzioni religiose, filosofiche e politiche
 l’adesione a partiti, sindacati, associazioni
 lo stato di salute
 la vita sessuale

28. Trattamento
 Ogni operazione effettuata sui dati: anche
visualizzazione, lettura, conservazione

29. Comunicazione
 Dare conoscenza a persona determinata
diversa dall’interessato, dal responsabile e
dall’incaricato

30. Diffusione
 Dare conoscenza a soggetti indeterminati: ad
esempio, la pubblicazione

31. Autenticazione informatica
 Autenticazione: l’insieme degli strumenti elettronici
e delle procedure per la verifica anche indiretta
dell’identità
 credenziali di autenticazione: i dati e i dispositivi,
in possesso di una persona, da questa conosciuti e
ad essa univocamente correlati, utilizzati per
l’autenticazione informatica
 Secondo il d.p.r. 445/2000, modificato dal d.p.r.
137/2003 costituisce “firma elettronica“ (non è
sinonimo di “firma digitale”) “l’insieme dei dati in
forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati
come metodo di autenticazione informatica”

32. Autenticazione informatica
 il codice per l’identificazione non può essere assegnato
ad altri incaricati, neppure in tempi diversi
 le credenziali di autenticazione sono disattivate se non
utilizzate da almeno sei mesi
 le credenziali di autenticazione sono disattivate in caso
di perdita della qualità
 Sono impartite agli incaricati istruzioni per non lasciare
incustodito e accessibile lo strumento elettronico durante
la sessione di trattamento
 istruzioni per assicurare la disponibilità dei dati in caso di
assenza dell’incaricato

33. Autorizzazione
 Sono impartite agli incaricati istruzioni per non
lasciare incustodito e accessibile lo strumento
elettronico durante la sessione di trattamento
 istruzioni per assicurare la disponibilità dei dati in
caso di assenza dell’incaricato
 Individuazione dei profili per ciascun incaricato o
classi di incaricati
 periodicamente occorre verificare la sussistenza
delle condizioni per la conservazione dei profili

34. Parola chiave
 Composta da almeno otto caratteri non deve
contenere riferimenti agevolmente
riconducibili all’incaricato
 dev’essere modificata al primo utilizzo
 successivamente ogni 6/3 mesi

35. Conclusioni
 La sicurezza non è un prodotto, è un
processo;
 La sicurezza non è un problema di
competenza ma di responsabilità;