Estratto del documento

It security edp

Electronic Data Processing, mette l’accento sull’elaborazione con strumenti elettronici dei dati. Proprio per la rapidissima evoluzione tecnica, si insisteva maggiormente sugli aspetti tecnici. I dati la facevano da padrone, con tutti i problemi tecnologici che l’informatica dell’epoca presentava. Oggi, è pressoché scomparso, ma soprattutto l’attenzione si è spostata dai dati alle informazioni.

I dati non sono nient’altro che una rappresentazione di proprietà, fatti, caratteristiche, azioni, eventi, legati a persone, enti o più generalmente oggetti di una rivelazione.

Informazione

Dati elaborati, anche soltanto organizzati, in modo da renderli comprensibili e significativi per i loro utilizzatori.

Caratteristiche della sicurezza delle informazioni

Il documento di riferimento che ha strutturato l’argomento è ISO/IEC 27002:2013. Esso propone il modello CID (Confidenzialità, Integrità, Disponibilità), in inglese CIA. Le tre linee proposte da questo modello, divenute ormai standard, spesso nelle politiche di sicurezza informatica, hanno trovato riscontro nelle disposizioni di legge:

  • Confidenzialità. Le informazioni devono essere protette per impedire accessi ed utilizzo a persone non autorizzate. Le stesse informazioni di accesso devono essere limitate alle effettive necessità di consultazione ed elaborazione. In un’azienda, tutte le informazioni devono essere protette da accessi non autorizzati, interni o esterni. Inoltre, devono essere previsti sistemi di autorizzazioni per limitare gli accessi alle varie categorie di informazioni agli addetti che ne hanno l’effettiva necessità.
  • Disponibilità. Così come le informazioni non devono essere accessibili a chi non è autorizzato, devono essere rese disponibili a chi è autorizzato in modo efficace e tempestivo. Questa caratteristica deve essere garantita sia nell’operatività ordinaria, sia in seguito a fatti accidentali, sia in caso di azioni dolose. In tutti i casi, il ripristino della funzionalità del sistema informatico deve avvenire in tempi brevi.
  • Integrità. Nello stesso modo in cui la consultazione delle informazioni deve essere controllata, deve essere assicurata la conservazione delle informazioni nel loro stato corretto, senza che vi sia la possibilità di modificarle, cancellarle od aggiungerne in modo improprio, accidentalmente o volontariamente. Questa alterazione deve essere impedita sia per i dati memorizzati nel sistema, sia per i dati trasmessi.

Il rispetto di queste caratteristiche nella messa in opera di politiche di sicurezza coinvolge aspetti tecnici organizzativi e legali, spesso complessi che vanno analizzati caso per caso. Nessuna misura di sicurezza elimina completamente i rischi. Si parla quindi di riduzione a livelli accettabili del rischio, livelli da definire tramite un’analisi dei rischi ed in funzione del costo accettabile delle misure di sicurezza, dal punto di vista economico ed organizzativo.

Impostazioni di sicurezza

I programmi di produttività individuale hanno ormai raggiunto un livello tale di sofisticazione ed una ricchezza tale di funzionalità che dispongono di centinaia di comandi, voci di menu, tasti funzione ed icone. Per agevolare il lavoro dell’utente possono registrare sequenze di comandi e rieseguirle su semplice richiesta dell’utente, evitandogli così di eseguire manualmente sequenze lunghe, complesse e ripetitive. Queste sequenze, denominate macro, sono memorizzate come una vera e propria sequenza di istruzioni. Mentre alcune macro vengono eseguite solo su esplicita richiesta dell’utente, altre possono essere state create da qualche autore malevolo in modo da attivarsi all’insaputa dell’utente se compie qualche azione o semplicemente al momento in cui esso apre il documento.

Se da un lato facilitano l’attività dell’utente, dall’altro possano rappresentare un pericolo: potenzialmente si potrebbe ricevere un file con una macro contenente istruzioni pericolose in grado di danneggiare dati presenti nel computer. I programmi di produttività dispongono di funzionalità che permettono all’utente di scegliere il livello di sicurezza delle macro e di allerta in caso di presenza di macro nel file. Al momento dell’apertura del file, può decidere inoltre se abilitare o disabilitare le macro presenti nel file.

In Libre Office, si può scegliere il livello di sicurezza delle macro presenti nei documenti. Per questo occorre:

  • Selezionare il menu Strumenti/Opzioni.
  • Nella finestra che compare, scegliere nella colonna di sinistra la voce LibreOffice/Sicurezza.
  • Cliccare sul pulsante Sicurezza delle macro.
  • Si può così impostare il livello di sicurezza delle macro.

Con l’aumento della diffusione di Internet, diventa sempre più facile entrare in contatto con persone con le quali altrimenti non si sarebbe mai comunicato. Aumenta naturalmente il rischio che tali persone siano malintenzionate ed approfittino dell’immediatezza offerta dallo strumento informatico per commettere qualche reato a danno dell’utente sprovveduto. È importante d’altro canto non demonizzare Internet né pensare che sia la causa dei reati che vengono perpetrati per il suo tramite. Internet è solo uno strumento di comunicazione. Così come altri strumenti tecnologici sono stati utilizzati per delinquere quando siano nati, anche Internet viene adoperato agli stessi fini.

È indubbio che alcune delle attività che si svolgono in rete sono più sensibili di altre e richiedono maggiori cautele. Sono soprattutto quelle che hanno risvolti finanziari: gli acquisti e le operazioni bancarie.

Crimine informatico

Dando per scontato il significato di crimine, possiamo concentrarci sulle caratteristiche specifiche del crimine informatico. Con crimine informatico, si intende un atto illecito realizzato attraverso l’uso improprio di strumenti informatici, siano essi locali oppure remoti. Essere vittima di un crimine informatico è uno dei rischi ai quali è soggetto l’utente di sistemi informatici.

Furto di identità

Per la maggior parte delle transazioni sono previste misure di sicurezza sempre più efficaci ma anche gli attacchi e le tecniche per carpire informazioni sono sempre più numerose ed efficaci. È facile intuire quanto sia pericoloso il furto di informazioni il cui uso possa portare ad una perdita di denaro. Il furto delle sole credenziali di accesso alla propria casella di posta elettronica o alla rete sociale che utilizziamo può arrecarci danni significativi, anche se questo non ha un immediato riflesso economico.

Furti di identità, frodi, danneggiamento della propria immagine o della propria reputazione sono rischi di cui ci dobbiamo rendere conto e che dobbiamo prendere in considerazione. Un uso sicuro di Internet e dei suoi servizi si basa quindi sulla conoscenza di questi rischi di frode e di furto di identità per ridurre i quali è fondamentale tenere riservate e protette queste informazioni personali.

Il furto di identità è un tema di portata generale, che ha dei risvolti informatici particolarmente importanti. A livello generale, il furto di identità consiste nel fatto di utilizzare l’identità di un’altra persona con lo scopo di compiere degli atti fraudolenti di natura commerciale, civile o penale, come se li avesse compiuti lei.

Il furto di identità si basa sull’acquisizione da parte del ladro di informazioni su una persona per potersi sostituire ad essa e far ricadere su di esse i rischi e le conseguenze negative degli atti che esso vuole compiere. Il processo di raccolta delle informazioni dipende ovviamente dalla natura dell’azione illegale che il ladro vuole compiere, non trattandosi sempre di furto di somme di denaro ma di azioni di vario genere: poter documentare diplomi mai conseguiti, sembrare in posizione regolare per l’immigrazione senza esserlo realmente, guidare un veicolo senza averne realmente l’abilitazione.

Il furto di identità può colpire gli individui come le organizzazioni. Il furto di identità si basa sull’acquisizione di informazioni di vario genere sulla persona.

Nel caso di furto di identità amministrativa, le tecniche maggiormente utilizzate sono il furto di documenti, il furto di corrispondenza, non solo quello della posta elettronica ma anche quella della posta tradizionale. Il furto di corrispondenza nella buca delle lettere può fornire molte informazioni personali soprattutto per l’ingegnere personale.

Ultimo ma non meno importante, anche perché spesso insospettato dalla persona sotto attacco, il dumpster diving. Sotto questo termine inglese, dalla parvenza tecnico-scientifica, si nasconde una tecnica che non ha niente di scientifico e nemmeno di informatico. Consiste nel frugare nella spazzatura in cerca di oggetti o documenti in grado di fornire informazioni su una persona.

Nel caso di furto di identità digitale, l’obiettivo primario è carpire credenziali di autenticazioni o di autorizzazione. Per gli ATM (Automated Teller Machine), che usano carte di debito o carte di credito, assume particolare importanza lo skimming, tecnica fraudolenta che indica il recupero illegale di dati dalla banda magnetica di una carta, tramite duplicazione della carta.

Misure per prevenire accessi non autorizzati ai dati

Possiamo classificare in due famiglie le misure destinate a prevenire accessi non autorizzati ai dati, diverse per obiettivi e finalità:

  • Impedire l’accesso non autorizzato ai dati. Queste misure sono basilari e irrinunciabili ma non sempre hanno un elevato livello di sicurezza: sono tipicamente l’uso delle credenziali di autenticazione, in generale la password, usate per limitare l’accesso ai soli utenti registrati che hanno la responsabilità della non divulgazione della stessa. All’uso della password si affiancano le misure minime di sicurezza quali il blocco della propria postazione di lavoro in caso di assenza, la custodia della password. La password costituisce però una misura di sicurezza debole che richiede l’attivazione di misure di altro tipo per impedire l’utilizzo dei dati da parte di un ladro che sia riuscito ad impadronirsene.
  • Impedire l’utilizzo dei dati in caso di furto dei dati. I dati non potranno essere utilizzati dal ladro se saranno stati cifrati, detti anche crittografati, prima di registrarli sul disco. In questo caso, anche inserendo il disco in un altro computer, verificando così la protezione offerta dalla password, non è possibile accedere ai dati senza disporre della chiave usata nella cifratura.

Per farsi riconoscere da un sistema informatico e poter accedere ai dati, la password può essere affiancata o sostituita da altri sistemi di protezione, più sicuri, per esempio un badge personale da inserire in un apposito lettore. In questo caso, non basta la conoscenza della password ma occorre duplicare o rubare fisicamente il dispositivo.

Cifratura

Si parla di cifratura non solo per la registrazione dei dati su supporto di memorizzazione, ma anche a proposito della trasmissione di informazioni. In questo caso la trasmissione di informazioni avviene in 4 passi:

  • Codifica da parte del mittente dell’informazione da trasmettere.
  • Invio dell’informazione cifrata.
  • Ricezione dell’informazione cifrata da parte del destinatario.
  • Decodifica dell’informazione ricevuta.

Un sistema oggi largamente utilizzato è quello che prende il nome di crittografia asimmetrica. Senza entrare nei dettagli tecnici, si può dire che:

  • Il destinatario utilizza la propria chiave privata per decodificare le informazioni ricevute.
  • Il mittente utilizza la chiave pubblica del destinatario per codificare le informazioni da spedirgli.
  • La chiave privata non ha bisogno di essere scambiata, in quanto non serve nella cifratura, consentendo un’ulteriore riduzione dei rischi.
  • Ognuno dei due interlocutori dispone di due chiavi:
    • Una chiave pubblica, che deve diffondere, utilizzata da chi vuole mandargli informazioni, per criptarle.
    • Una chiave privata, segreta, utilizzata dal destinatario per decodificare le informazioni ricevute.

La cifratura non è di per sé una panacea. Nei casi in cui la cifratura di file non avviene automaticamente ma ad opera dell’utente, essa presenta due limiti dei quali tener conto:

  • Il livello di sicurezza dipende dalla scelta da parte dell’utente della chiave o password di codifica. Se l’utente sbrigativo non rispetta le buone politiche per le password, il file è facilmente decodificabile da parte di qualche malintenzionato che ne venisse in possesso. Lo stesso dicasi se non si rispettano le norme elementari di sicurezza per far conoscere la chiave al destinatario.
  • In caso di smarrimento della chiave nemmeno il legittimo proprietario può accedere ai propri dati. La chiave o password che permette di decodificare il file deve quindi essere custodita in modo da non compromettere la disponibilità dei dati ma ovviamente in modo riservato.

Leggi privacy

L’importanza della sicurezza informatica è stata recepita dal legislatore italiano già da diversi anni. Si sono susseguite disposizioni di legge in materia di Tutela dei dati personali, detta privacy, che definivano norme minime di sicurezza ed incitavano imprese e privati a mettere in pratica comportamenti e regole per proteggere dati personali e dati sensibili, in particolare se gestiti tramite strumenti informatici.

Il Testo Unico sulla privacy e successive modifiche è lo strumento che tutela i dati personali dei cittadini italiani, dentro e fuori Internet. Il decreto è entrato in vigore il 1° gennaio 2004 ed è il testo di riferimento in merito alla protezione dei dati personali in Italia. Le finalità della norma sono illustrate dall’articolo 2. L’articolo 3 del Codice Unico contiene l’elenco nelle definizioni adottate dalla legge.

L’interessato, cioè colui a cui si riferiscono i dati personali, ha diritto:

  • Di conoscere l’origine di tali dati, le finalità e modalità del trattamento, gli estremi dei titolari del trattamento ed i soggetti ai quali possono essere comunicati tali dati.
  • Di essere informato sull’esistenza di dati personali e di averne comunicazione in forma intellegibile.
  • Di opporsi, per motivi legittimi, al trattamento dei propri dati ed in particolare al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
  • Di ottenere cancellazione, aggiornamento, rettifica ed integrazione dei dati.

La gestione dei dati personali è una questione molto delicata, tanto da essere regolata in modo puntuale da specifiche norme. In ottemperanza a quanto previsto dal Testo Unico della Privacy, il titolare del trattamento deve informare l’interessato, per quanto riguarda:

  • Gli estremi del titolare del trattamento ed a chi rivolgersi per l’esercizio dei suoi diritti.
  • I soggetti terzi a cui potrebbero essere comunicati i suoi dati.
  • Il motivo, le finalità e le modalità della raccolta.
  • L’obbligatorietà della raccolta e le conseguenze in caso di rifiuto.

Il trattamento può avvenire solo previo consenso dell’interessato, salvo che:

  • Si tratti di un obbligo giuridico.
  • Sia necessario per difendere propri diritti in sede giudiziaria.
  • Sia necessario per la salvaguardia della vita e dell’incolumità o dell’interessato.

Dal punto di vista tecnico, altre precisazioni dettate dalla legge riguardano:

  • Il formato delle password.
  • Il salvataggio e ripristino dei dati.
  • La gestione delle credenziali di autenticazione.
  • La periodicità di aggiornamento degli strumenti di protezione dei dati.
  • La protezione contro l’intrusione ed il malware.

Il quadro di riferimento normativo europeo originario è la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il 12 marzo 2014 è stato approvato il nuovo Regolamento sullo stesso tema che tiene conto delle nuove esigenze emerse dal 1995 ad oggi. A completamento del quadro normativo, entro il 2014 dovrebbe essere emanata anche la Direttiva che disciplina la materia per finalità di polizia e giustizia, ossia il trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati od esecuzione di sanzioni penali.

L’estrema attenzione portata alla sicurezza informatica è dovuta anche alla pericolosità delle azioni fraudolente che si possono compiere attraverso gli strumenti informatici ed alla gravità dei reati che ne derivano. Tant’è che si parla ormai di veri e propri crimini informatici.

Distinzione tra dati ed informazioni

Nel caso di catastrofi od eventi straordinari impedire la distruzione dei dati può essere molto difficile se non impossibile. L’attenzione in termini di sicurezza si sposta quindi sul recupero dei dati in caso di perdita e la riduzione dei danni che ne derivano.

Oggi è pressoché impossibile trovare un personal computer isolato, non collegato a qualche rete. Una rete aziendale, la rete di casa con due o tre personal computer, per non parlare di Internet. In tema di sicurezza, il collegamento ad una rete introduce rischi e difficoltà di protezione aggiuntivi.

Connessione ad Internet

Il numero di utenti di Internet ha raggiunto dei livelli di t...

Anteprima
Vedrai una selezione di 7 pagine su 27
IT Security Pag. 1 IT Security Pag. 2
Anteprima di 7 pagg. su 27.
Scarica il documento per vederlo tutto.
Scarica
IT Security Pag. 6
Anteprima di 7 pagg. su 27.
Scarica il documento per vederlo tutto.
Scarica
IT Security Pag. 11
Anteprima di 7 pagg. su 27.
Scarica il documento per vederlo tutto.
Scarica
IT Security Pag. 16
Anteprima di 7 pagg. su 27.
Scarica il documento per vederlo tutto.
Scarica
IT Security Pag. 21
Anteprima di 7 pagg. su 27.
Scarica il documento per vederlo tutto.
Scarica
IT Security Pag. 26
1 su 27
D/illustrazione/soddisfatti o rimborsati
Acquista con carta o PayPal
Scarica i documenti tutte le volte che vuoi
Dettagli
SSD
Scienze matematiche e informatiche INF/01 Informatica
I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher francesca ghione di informazioni apprese con la frequenza delle lezioni di Abilità informatiche e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli studi di Torino o del prof Casella Paolo.
Appunti correlati Invia appunti e guadagna

Domande e risposte

Hai bisogno di aiuto?
Chiedi alla community
Vai al forum