sicurezza informatica degli studi professionali › news › documenti › ...comporta nuove...

1

SICUREZZA INFORMATICASICUREZZA INFORMATICADEGLI STUDI PROFESSIONALI DEGLI STUDI PROFESSIONALI

G. Annunziata, G. Annunziata, G.MancoG.Manco

Napoli 28 Maggio 2010Napoli 28 Maggio 2010

EDILMED/ 2010

Ordine degli Ingegneri della Provincia di Napoli

Commissione Telecomunicazioni

EDILMED 2010EDILMED 2010

2EDILMED10

SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI

► SOMMARIO● La digitalizzazione (dematerializzazione) degli studi professionali● La sicurezza informatica degli studi professionali● Le aree da proteggere● Architettura tipica di un sistema ICT per studio professionale● I rischi (minacce)● Le misure per la mitigazione dei rischi● Conclusioni

3EDILMED10


► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI ● Anni ’80

Attività essenzialmente basate sul cartaceo pochi strumenti di ufficio(calcolatrice, fax, primi PC, ecc.).

● Anni ‘90♦ SI diffonde l’uso dei PC con nuovi strumenti di ufficio e professionali (programmi di calcolo strutturale, ecc.),♦ Inizia a diffondersi l’uso di Internet e della posta elettronica● Oggi♦ Diffusione di Internet 2.0, e-mail, nuovi programmi di utilità, mobile

computing, smartphone, PEC (posta elettronica certificata), Firma Digitale, dematerializzazione delle attività professionali, della P.A., delle banche, ecc.

♦ Nuovi asset da gestire e proteggere: dati clienti ,ecc♦ Nuovi modalità di comunicazione con i clienti♦ Busìness continuity

4EDILMED10


► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI● Comporta la presenza di rischi informatici● Comporta nuove problematiche di disponibilità delle funzioni e dei dati

(business continuity)● Comporta nuovi obblighi (privacy) nella gestione dei dati personali e di quelli

sensibili relativi ai clienti

OCCORRE UN APPROCCIO SISTEMATICO E GLOBALE PER LA SICUREZZA INFORMATICA E LA GESTIONE DEI DATI

RISERVATI ( PRIVACY)

“Ogni nuova tecnologia apre la strada a nuovi crimini”

5EDILMED10


► GLI OBIETTIVI DELLA SICUREZZA INFORMATICA definizione ISO, la sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite:

● Disponibilità● Integrità● Confidenzialità o riservatezza● Autenticità e non ripudio

6EDILMED10


► QUADRO NORMATIVO DI RIFERIMENTO

● ISO/IEC TR 13335-3 (Modello per la valutazione del rischio informatico)● ISO 2700x Certificazione Sist. Gest. Sicurezza Informazioni● DPR n. 445 12/2000 T.U. Su Doc. Amministrativa● Legge 196/2003 (Privacy)● Legge 4/2004 (Accessibilità)● D.Lgs. 82/2005 (Codice amm.digitale con introduzione firma digitale)● TU Dlgs 81/2008 e sue evoluzioni (Confidenzialità e riservatezza dei dati)● Legge 2/2009 (PEC obbligatoria per aziende, professionisti e PA)

7EDILMED10


► LE AREE DA PROTEGGERE

8EDILMED10


► IL SISTEMA INFORMATICO

9EDILMED10


► LE MINACCE Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito.VirusE’ un malware che spesso si annida all’interno del codice di un altro programma. Dopo essere stato attivato, inizia a far danni, eliminando files, occupando risorse, aprendo porte del PC, così consentendo accessi indesiderati dall’esternoWormCome i virus, essi hanno la capacità di autoreplicarsi e sfruttano le email come veicolo di diffusione, ma non distruggono informazioni.Trojan horseSi presentano sotto le mentite spoglie di programmi innocui ed utili ma aprono porte del PC, introducono virus e worm all’interno dei pc su cui vengono eseguiti.

10EDILMED10


► LE MINACCE SpywareE’ un malware che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profittoIntrusioniAccesso non autorizzato dal mondo esterno di hacker su pc o server, collegati alla rete, sfruttando vulnerabilità del perimetro esterno SpammingLa posta indesiderata, oltre ad essere fonte di fastidio e perdite di tempo, è il principale veicolo di diffusione di virus e di malware in generale

11EDILMED10


► LE MINACCE PhishingUna delle più gravi minacce informatiche annidate in internet, utilizzata per ottenere informazioni personali o riservate con la finalità del furto d'identità. Grazie a messaggi che imitano grafica e logo di aziende istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..

► QUALCHE DATO STATISTICOSecondo una statistica della Symantec, l'Italia è al secondo posto in Europa come percentuale di computer infetti: sono il 12% del totale.Inoltre l’Italia è il primo paese, di lingua non inglese, per furto di dati e di identità via computer.Secondo il CNIPA i malware arrivano per il 70% via E.mail e c.a. il 30% via Internet

12EDILMED10


► STRUMENTI E COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO

Per garantire un buon livello di sicurezza è necessario considerareil sistema informatico a tutti i livelli, esaminandone attentamente gliaspetti:

- Legali (Leggi e regolamenti, normative internazionali, ecc.)- Strategici (obiettivi e budget)- Organizzativi (definizione ruoli, procedure, formazione, ecc.)- Economici (analisi dei costi, valutazione rischi, formazione)- Tecnologici (sicurezza fisica e logica)

13EDILMED10


► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO

AntivirusIndividua ed elimina i virusAntirootkitE’ in grado di riconoscere i sistemi usati dai virus per rendersi invisibiliAntispywareIdentifica i programmi che raccolgono informazioni sensibili.AntispammingFiltra ed elimina le email indesiderate. AntiphishingMette in guardia contro i tentativi di frode via internet, in particolare quelle che tentano di recuperare password dei sistemi home banking.

14EDILMED10


► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO

FirewallApparato di rete hardware o software che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa.Monitoraggio di reteIdentifica potenziali minacce dalla rete, ed evita la diffusione di dati personali.Protezione dai botDifende contro gli attacchi via internet da parte dei sistemi di infezione di tipo “botnet”.Protezione del browserVerifica il contenuto dei file scaricati da internet.

15EDILMED10


► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO

1. ANTIVIRUSInstallare e aggiornare regolarmente un buon antivirus

2. FIREWALLMantenere attivi sia quelli “perimetrali” hardware, a livello di router, che quelli software sul singolo computer.

3. E-MAILNon aprire i files allegati ai messaggi di posta elettronica proveniente da mittenti sconosciuti, e, se necessario, salvare tali files su disco e sottoporli a scansione con antivirus prima di aprirli.

4. PROGRAMMINon aprire assolutamente file eseguibili (.exe) dei quali non si conosca origine e genuinità. Lo stesso dicasi per i files che possono avere al loro interno delle macro (word, excel, ecc).

16EDILMED10



5. PATCHInstallare sempre le più recenti sia per il sistema operativo che per tutti i gli applicativi presenti sul pc.

6. ANOMALIENel caso in cui il sistema operativo presenti anomalie e malfunzionamenti, utilizzareappositi software per rilevare eventuali spyware presenti nel nostro computer.

7. JAVA, JAVASCRIPT e ACTIVE-XIn assenza di un buon antivirus, disabilitarle nel nostro browser di navigazione, in quanto punto debole per la nostra sicurezza.

8. SCRIPTING POSTA ELETTRONICADisabilitare tali funzioni dal menù di configurazione dei client di posta elettronica, visto che i pericoli spesso si annidano nei contenuti interattivi dei messaggi di posta.

17EDILMED10



9. BACKUPEffettuare, ad intervalli di tempo prestabiliti e regolari, una copia dei dati importanti presenti nel computer, e custodire la stessa in luogo sicuro.

10. DISCO di RIPRISTINOPrepararne uno per riavviare il computer nel caso di sistema operativo danneggiato.

11. PASSWORDUtilizzare password di accesso efficaci (ovvero non semplici) provvedendo a cambiarle almeno ogni 90 giorni.

12. CRITTOGRAFIACrittografare i dati più importanti presenti sui pc per renderli inutilizzabili anche in caso di furto o smarrimento.

18EDILMED10


Infine una rapida panoramica sugli strumenti atti a garantire l’opponibilità ai terzi, l'integrità, l'autenticità, la non ripudiabilità delle informazioni trasmesse via posta elettronica:

► LA POSTA CERTIFICATA (PEC)

La PEC è uno strumento che permette di dare ad un messaggio di postaelettronica, lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale (DPR 11 Febbraio 2005 n.68, Dlgs n.2/2009).La PEC garantisce, in caso di contenzioso, l'opponibilità a terzi del messaggio. La PEC non certifica però l'identità del mittente, né trasforma il messaggio in

“documento informatico”, se il mittente non usa la propria firma digitale.

► LA FIRMA DIGITALE

La Firma Digitale è l'equivalente elettronico di una tradizionale firma autografa apposta su carta. Associata stabilmente ad un “documento informatico” ne attesta con certezza l'integrità, l'autenticità, la non ripudiabilità.

19EDILMED10


CONCLUSIONI

► La digitalizzazione delle attività professionale comporta di dover affrontare e risolvere problemi di sicurezza informatica e di privacy.

► La sicurezza non è solo un problema tecnologico ma essenzialmente un problema di attitudine mentale e quindi di comportamenti da assumere.

► E’ necessario dotarsi dei giusti strumenti e delle giuste procedure per proteggere il valore rappresentato dalle informazioni possedute.

“La tecnologia non fa la sicurezza ma senza tecnologia non si può fare sicurezza ”

20EDLIMED/10

sicurezza informatica degli studi professionali › news › documenti › ...comporta nuove...

Documents