sicurezza informatica degli studi professionali

EDILMED 2010
Ordine degli Ingegneri della Provincia di Napoli
Commissione Telecomunicazioni
SICUREZZA INFORMATICA
DEGLI STUDI PROFESSIONALI
G. Annunziata, G.Manco
Napoli 28 Maggio 2010
EDILMED/ 2010
1
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► SOMMARIO
● La digitalizzazione (dematerializzazione) degli studi professionali
● La sicurezza informatica degli studi professionali
● Le aree da proteggere
● Architettura tipica di un sistema ICT per studio professionale
● I rischi (minacce)
● Le misure per la mitigazione dei rischi
● Conclusioni
EDILMED10
2
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI
● Anni ’80
Attività essenzialmente basate sul cartaceo pochi strumenti di ufficio
(calcolatrice, fax, primi PC, ecc.).
● Anni ‘90
♦ SI diffonde l’uso dei PC con nuovi strumenti di ufficio e professionali
(programmi di calcolo strutturale, ecc.),
♦ Inizia a diffondersi l’uso di Internet e della posta elettronica
● Oggi
♦ Diffusione di Internet 2.0, e-mail, nuovi programmi di utilità, mobile
computing, smartphone, PEC (posta elettronica certificata), Firma
Digitale, dematerializzazione delle attività professionali, della P.A.,
delle banche, ecc.
♦ Nuovi asset da gestire e proteggere: dati clienti ,ecc
♦ Nuovi modalità di comunicazione con i clienti
♦ Busìness continuity
EDILMED10
3
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI
● Comporta la presenza di rischi informatici
● Comporta nuove problematiche di disponibilità delle funzioni e dei dati
(business continuity)
● Comporta nuovi obblighi (privacy) nella gestione dei dati personali e di quelli
sensibili relativi ai clienti
OCCORRE UN APPROCCIO SISTEMATICO E GLOBALE PER LA
SICUREZZA INFORMATICA E LA GESTIONE DEI DATI
RISERVATI ( PRIVACY)
“Ogni nuova tecnologia apre la strada a nuovi crimini”
EDILMED10
4
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► GLI OBIETTIVI DELLA SICUREZZA INFORMATICA
definizione ISO, la sicurezza è l’insieme delle misure atte a garantire la
disponibilità, la integrità e la riservatezza delle informazioni gestite:
● Disponibilità
● Integrità
● Confidenzialità o riservatezza
● Autenticità e non ripudio
EDILMED10
5
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► QUADRO NORMATIVO DI RIFERIMENTO
●
●
●
●
●
●
●
●
ISO/IEC TR 13335-3 (Modello per la valutazione del rischio informatico)
ISO 2700x Certificazione Sist. Gest. Sicurezza Informazioni
DPR n. 445 12/2000 T.U. Su Doc. Amministrativa
Legge 196/2003 (Privacy)
Legge 4/2004 (Accessibilità)
D.Lgs. 82/2005 (Codice amm.digitale con introduzione firma digitale)
TU Dlgs 81/2008 e sue evoluzioni (Confidenzialità e riservatezza dei dati)
Legge 2/2009 (PEC obbligatoria per aziende, professionisti e PA)
EDILMED10
6
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE AREE DA PROTEGGERE
EDILMED10
7
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► IL SISTEMA INFORMATICO
EDILMED10
8
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE
Si definisce malware un qualsiasi software creato con il solo scopo di causare
danni più o meno gravi al computer su cui viene eseguito.
Virus
E’ un malware che spesso si annida all’interno del codice di un altro programma.
Dopo essere stato attivato, inizia a far danni, eliminando files, occupando
risorse, aprendo porte del PC, così consentendo accessi indesiderati dall’esterno
Worm
Come i virus, essi hanno la capacità di autoreplicarsi e sfruttano le email come
veicolo di diffusione, ma non distruggono informazioni.
Trojan horse
Si presentano sotto le mentite spoglie di programmi innocui ed utili ma
aprono porte del PC, introducono virus e worm all’interno dei pc su cui vengono
eseguiti.
EDILMED10
9
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE
Spyware
E’ un malware che raccoglie informazioni riguardanti l'attività online di un
utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso,
trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per
trarne profitto
Intrusioni
Accesso non autorizzato dal mondo esterno di hacker su pc o server, collegati
alla rete, sfruttando vulnerabilità del perimetro esterno
Spamming
La posta indesiderata, oltre ad essere fonte di fastidio e perdite di tempo, è il
principale veicolo di diffusione di virus e di malware in generale
EDILMED10
10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE
Phishing
Una delle più gravi minacce informatiche annidate in internet, utilizzata per
ottenere informazioni personali o riservate con la finalità del furto d'identità.
Grazie a messaggi che imitano grafica e logo di aziende istituzionali, l'utente è
ingannato e portato a rivelare dati personali, come numero di conto corrente,
numero di carta di credito, codici di identificazione, ecc..
► QUALCHE DATO STATISTICO
Secondo una statistica della Symantec, l'Italia è al secondo posto in Europa come
percentuale di computer infetti: sono il 12% del totale.
Inoltre l’Italia è il primo paese, di lingua non inglese, per furto di dati e di
identità via computer.
Secondo il CNIPA i malware arrivano per il 70% via E.mail e c.a. il 30% via
Internet
EDILMED10
11
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI E COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
Per garantire un buon livello di sicurezza è necessario considerare
il sistema informatico a tutti i livelli, esaminandone attentamente gli
aspetti:
- Legali (Leggi e regolamenti, normative internazionali, ecc.)
- Strategici (obiettivi e budget)
- Organizzativi (definizione ruoli, procedure, formazione, ecc.)
- Economici (analisi dei costi, valutazione rischi, formazione)
- Tecnologici (sicurezza fisica e logica)
EDILMED10
12
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO
Antivirus
Individua ed elimina i virus
Antirootkit
E’ in grado di riconoscere i sistemi usati dai virus per rendersi invisibili
Antispyware
Identifica i programmi che raccolgono informazioni sensibili.
Antispamming
Filtra ed elimina le email indesiderate.
Antiphishing
Mette in guardia contro i tentativi di frode via internet, in particolare quelle
che tentano di recuperare password dei sistemi home banking.
EDILMED10
13
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO
Firewall
Apparato di rete hardware o software che filtra tutti i pacchetti entranti ed
uscenti, da e verso una rete o un computer, applicando regole che
contribuiscono alla sicurezza della stessa.
Monitoraggio di rete
Identifica potenziali minacce dalla rete, ed evita la diffusione di dati personali.
Protezione dai bot
Difende contro gli attacchi via internet da parte dei sistemi di infezione di tipo
“botnet”.
Protezione del browser
Verifica il contenuto dei file scaricati da internet.
EDILMED10
14
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
1. ANTIVIRUS
Installare e aggiornare regolarmente un buon antivirus
2. FIREWALL
Mantenere attivi sia quelli “perimetrali” hardware, a livello di router, che quelli
software sul singolo computer.
3. E-MAIL
Non aprire i files allegati ai messaggi di posta elettronica proveniente da mittenti
sconosciuti, e, se necessario, salvare tali files su disco e sottoporli a scansione con
antivirus prima di aprirli.
4. PROGRAMMI
Non aprire assolutamente file eseguibili (.exe) dei quali non si conosca origine e
genuinità. Lo stesso dicasi per i files che possono avere al loro interno delle macro
(word, excel, ecc).
EDILMED10
15
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
5. PATCH
Installare sempre le più recenti sia per il sistema operativo che per tutti i gli applicativi
presenti sul pc.
6. ANOMALIE
Nel caso in cui il sistema operativo presenti anomalie e malfunzionamenti, utilizzare
appositi software per rilevare eventuali spyware presenti nel nostro computer.
7. JAVA, JAVASCRIPT e ACTIVE-X
In assenza di un buon antivirus, disabilitarle nel nostro browser di navigazione, in
quanto punto debole per la nostra sicurezza.
8. SCRIPTING POSTA ELETTRONICA
Disabilitare tali funzioni dal menù di configurazione dei client di posta elettronica, visto
che i pericoli spesso si annidano nei contenuti interattivi dei messaggi di posta.
EDILMED10
16
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
9. BACKUP
Effettuare, ad intervalli di tempo prestabiliti e regolari, una copia dei dati
importanti presenti nel computer, e custodire la stessa in luogo sicuro.
10. DISCO di RIPRISTINO
Prepararne uno per riavviare il computer nel caso di sistema operativo danneggiato.
11. PASSWORD
Utilizzare password di accesso efficaci (ovvero non semplici) provvedendo a cambiarle
almeno ogni 90 giorni.
12. CRITTOGRAFIA
Crittografare i dati più importanti presenti sui pc per renderli inutilizzabili anche in caso
di furto o smarrimento.
EDILMED10
17
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
Infine una rapida panoramica sugli strumenti atti a garantire l’opponibilità ai terzi,
l'integrità, l'autenticità, la non ripudiabilità delle informazioni trasmesse via posta
elettronica:
► LA POSTA CERTIFICATA (PEC)
La PEC è uno strumento che permette di dare ad un messaggio di posta
elettronica, lo stesso valore legale di una raccomandata con avviso di
ricevimento tradizionale (DPR 11 Febbraio 2005 n.68, Dlgs n.2/2009).
La PEC garantisce, in caso di contenzioso, l'opponibilità a terzi del messaggio.
La PEC non certifica però l'identità del mittente, né trasforma il messaggio in
“documento informatico”, se il mittente non usa la propria firma digitale.
► LA FIRMA DIGITALE
La Firma Digitale è l'equivalente elettronico di una tradizionale firma autografa
apposta su carta. Associata stabilmente ad un “documento informatico” ne
attesta con certezza l'integrità, l'autenticità, la non ripudiabilità.
EDILMED10
18
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
CONCLUSIONI
► La digitalizzazione delle attività professionale comporta di dover affrontare e
risolvere problemi di sicurezza informatica e di privacy.
► La sicurezza non è solo un problema tecnologico ma essenzialmente un
problema di attitudine mentale e quindi di comportamenti da assumere.
► E’ necessario dotarsi dei giusti strumenti e delle giuste procedure per
proteggere il valore rappresentato dalle informazioni possedute.
“La tecnologia non fa la sicurezza ma
senza tecnologia non si può fare sicurezza ”
EDILMED10
19
EDLIMED/10
20