Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

2_Sicurezza Informatica - Istituto Paritario Michelangelo

LA SICUREZZA NEI SISTEMI
INFORMATIVI
Sicurezza informatica, valutazione
dei rischi, tecniche di prevenzione
2
SICUREZZA INFORMATICA
Viene spesso indicata con l’acronimo
CIA dalle iniziali di :
• Confidentiality : mantenere la
segretezza dei dati
• Integrity : evitare che i dati
vengano alterati
• Availability : garantire che il
sistema continuerà ad operare
3
SICUREZZA INFORMATICA
Gli obiettivi appena esaminati sono tra loro generalmente
connessi e generano il seguente insieme di aspetti che sono alla
base della sicurezza di un sistema informatico:
1. Autenticazione: è il processo di riconoscimento
dell’identità dell’utente (es. password, smart-card,
riconoscimento biologici come impronta digitale o il fondo
della retina)
2. Autorizzazione: all’utente autenticato, viene associato un
insieme di autorizzazioni che specifica quali azioni sono
permesse e quali sono negate
4
SICUREZZA INFORMATICA
3. Riservatezza (privacy) : le informazioni devono essere
comprensibili e leggibili solo a chi ne ha i diritti (solo le
persone autorizzate) è necessario che gli altri utenti non le
possono intercettare o, comunque non siano in grado di
comprenderle.
4. Disponibilità (avalibility): un documento deve essere
disponibile in qualunque momento a chi ne è autorizzato 
garantire la continuità del servizio
5
SICUREZZA INFORMATICA
5. Integrità (integrity) : avere la garanzia che un documento
sia integro , cioè non alterato da persone non autorizzate e
non alterato da persone autorizzate in seguito ad azioni
maldestre e involontarie
6. Paternità : ogni documento deve essere associato ad un
utente e questo utente non deve poter ripudiare o negare
messaggi da lui spediti o firmati.
6
Misure preventive
ai livelli di rete
Le misure da intraprendere per ottenere la segretezza possono
essere anche affrontate in diversi livelli della pila protocollare:
•
A livello fisico : si può cercare di impedire che avvengano
intercettazioni di dati, cioè che intrusi possano connettersi
alla rete e prelevare le informazioni
•
A livello di data link : si possono introdurre codifiche e
cifrature dei dati trasmessi per renderli incomprensibili ai
cracker (un craker è quello che viene chiamato in gergo, in maniera
errata, hacker)
7
VALUTAZIONE DEI RISCHI
La valutazione dei rischi è lo strumento fondamentale che
permette al datore di lavoro di individuare le misure di
prevenzione e di pianificarne l’attuazione, il miglioramento
ed il controllo al fine di verificarne l’efficacia e l’efficienza.
Possiamo distinguere due fasi essenziali:
1. Analisi dei rischi
2. Gestione della problematica
8
ANALISI DEI RISCHI
•
Per ogni asset1 si individuano :
◦
◦
•
Le situazioni di vulnerabilità
Le possibili minacce
Con minaccia si intende un evento intenzionale (attacco) o
accidentale che può causare la perdita di una proprietà di
sicurezza
1) Un asset è l’insieme di beni, dati e persone necessarie per l’erogazione di
un servizio IT (Information Technology) ovvero : dati, risorse umane, risorse
tecnologiche, locazione dei macchinari
9
ANALISI DEI RISCHI
Minacce alla
sicurezza
Naturali
Umane
Involontarie
Intenzionali
Utenti interni
come dipendenti
scontenti
Utenti esterni
come cracker
(hacker)
Dipendenti
inesperti
Inondazioni,
incendi, terremoti
e tempeste
10
ANALISI DEI RISCHI
Esempi di eventi intenzionali
Tra gli eventi intenzionali, cioè gli attacchi, possiamo individuare:
•
IP spoofing/shadow server:
qualcuno si sostituisce ad un host
•
Packet sniffing: si leggono
password di accesso e/o dati riservati
•
Data spoofing : si inseriscono /
modificano i dati durante il loro transito
in rete
11
ANALISI DEI RISCHI
Esempi di eventi accidentali
Tra gli eventi accidentali, cioè gli errori o malfunzionamenti,
possiamo individuare:
•
Non adeguatezza delle strumentazioni, delle politiche e delle
tecnologie di backup
•
Locale server sensibile alle inondazioni
•
Armadi contenenti i supporti magnetici/ottici infiammabili
•
Errata gestione delle password
•
Mancanza di gruppi di continuità
•
Ecc.
12
STIMA DEL RISCHIO
1. Per ciascuna situazione del rischio, si procede con una stima
probabilistica della verificabilità dell’evento dannoso :
Servizio
Asset
Dati
Risorse
umane
Risorse
ITC
Location
Eventi
Vulnerabilità
2. Per ogni evento dannoso si
individuano e studiano le
possibili contromisure
evidenziando quelle con
miglior rapporto
prezzo/prestazioni e di facile
implementazione.
Minacce
Mincacce
Probabilità
dell'evento
Stima del rischio
13
PROCESSO DELLA STIMA DEL RISCHIO
Schema riassuntivo del processo della stima dei rischi:
Analisi
Vulnerabilità
Asset
Rischi
Minacce
Gestione
Selezione
contromisure
Implementazione
contromisure
Test e valutazione
(Audit)
14
PROCESSO DELLA STIMA DEL RISCHIO
Un esempio semplificato nella vita di tutti i giorni :
• Identificazione
delle risorse
Auto
Furto
• Identificazione
delle minacce
• Analisi del rischio
• Strategie di
riduzione del rischio
• Valutazione,
Formazione
• Qual é la probabilità che venga rubata?
• Qual é l’impatto?
• Evitare: vado a piedi
• Trasferire: polizza assicurativa
• Controllare: antifurto
La strategia é efficace?
Le condizioni operative sono cambiate?
Informare e formare(ad esempio i familiari)
15
SICUREZZA INFORMATICA :
TECNICHE DI PREVENZIONE
Principali tecniche di prevenzione :
1. Uso della crittografia
è la codifica dei dati in modo da renderli incomprensibili a persone non autorizzate
agli accessi
2. Autenticazione degli utenti
garantisce il riconoscimento in modo univoco dell’identità dell’interlocutore remoto
in modo.
All’autenticazione sono associate tre problematiche :
 Identificazione (“chi sei”? ): riconoscimento (password, smart-card, impronta digitale,
ecc.)
 Autenticazione (“come mi accerto che sei tu”? ): verifica dell’identità
 Autorizzazione (“cosa posso fare”? ): per ogni utente autorizzato è definito il tipo di
accesso
16
SICUREZZA INFORMATICA :
TECNICHE DI PREVENZIONE
3. Firma digitale
Risultato della procedura informatica (validazione) basata su un sistema di
chiavi asimmetriche a coppia, una pubblica e una privata, che consente, al
sottoscrittore tramite la chiave privata e al destinatario attraverso la chiave
pubblica, di inviare e ricevere materiale riservato avendo la certezza
dell'identità di chi firma e del fatto che solo chi è in possesso della chiave
privata avrà accesso ai contenuti di quanto spedito.
La firma digitale è una informazione che viene aggiunta ad un documento
informatico al fine di garantirne integrità e provenienza.
17
SICUREZZA INFORMATICA :
TECNICHE DI PREVENZIONE
4. Connessioni TCP sicure mediante TLS
Realizzare delle connessioni sicure implementando protocolli TLS.
Transport Layer Security (TLS) e il suo predecessore Secure Sockets
Layer (SSL), sono dei protocolli crittografici che permettono una
comunicazione sicura dal sorgente al destinatario (end-to-end) su reti
TCP/IP (come ad esempio Internet) fornendo autenticazione, integrità dei
dati e cifratura operando al di sopra del livello di trasporto.
Diverse versioni del protocollo sono ampiamente utilizzate in applicazioni
come i browser, l'e-mail, la messaggistica istantanea , ecc.
Un esempio di applicazione di SSL/TLS è nel protocollo HTTPS.
18
SICUREZZA INFORMATICA :
TECNICHE DI PREVENZIONE
5. Firewall
è un sistema hardware-software per proteggere una rete connessa a Internet
dall’accesso di utenti non autorizzati
6. Reti private e reti private virtuali
è possibile acquistare direttamente presso gli operatori delle reti pubbliche
una linea a uso esclusivo dell’azienda (reti private) ma con costi
considerevoli, oppure realizzare una rete privata virtuale (VPN) :
equivalente alla prima dal punto di vista logico ma con costi inferiori.
Una VPN reti condivise pubbliche come ad esempio Internet.
Documenti correlati
Corso “Gestire la sicurezza della rete informatica
Corso “Gestire la sicurezza della rete informatica
Analisi e gestione del rischio
Analisi e gestione del rischio
NOTE:
NOTE:
Sicurezza fisica dei dati: Soluzioni di Crittografia e
Sicurezza fisica dei dati: Soluzioni di Crittografia e
Quanto sei al sicuro nel Web?
Quanto sei al sicuro nel Web?
Informiamo i titolari di aziende con server windows con
Informiamo i titolari di aziende con server windows con
Get Pdf - IGSuite
Get Pdf - IGSuite
Sicurezza informatica: Nozioni di base Come proteggere il
Sicurezza informatica: Nozioni di base Come proteggere il
Norme di uso dei computer presso >
Norme di uso dei computer presso >
Scarica la Brochure di presentazione
Scarica la Brochure di presentazione
WEB Grane digitali CELLULARI Caricabatteria universale
WEB Grane digitali CELLULARI Caricabatteria universale
Vulnerability Assessment
Vulnerability Assessment
Scarica