EDILMED 2010 Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI G. Annunziata, G.Manco Napoli 28 Maggio 2010 EDILMED/ 2010 1 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► SOMMARIO ● La digitalizzazione (dematerializzazione) degli studi professionali ● La sicurezza informatica degli studi professionali ● Le aree da proteggere ● Architettura tipica di un sistema ICT per studio professionale ● I rischi (minacce) ● Le misure per la mitigazione dei rischi ● Conclusioni EDILMED10 2 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI ● Anni ’80 Attività essenzialmente basate sul cartaceo pochi strumenti di ufficio (calcolatrice, fax, primi PC, ecc.). ● Anni ‘90 ♦ SI diffonde l’uso dei PC con nuovi strumenti di ufficio e professionali (programmi di calcolo strutturale, ecc.), ♦ Inizia a diffondersi l’uso di Internet e della posta elettronica ● Oggi ♦ Diffusione di Internet 2.0, e-mail, nuovi programmi di utilità, mobile computing, smartphone, PEC (posta elettronica certificata), Firma Digitale, dematerializzazione delle attività professionali, della P.A., delle banche, ecc. ♦ Nuovi asset da gestire e proteggere: dati clienti ,ecc ♦ Nuovi modalità di comunicazione con i clienti ♦ Busìness continuity EDILMED10 3 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI ● Comporta la presenza di rischi informatici ● Comporta nuove problematiche di disponibilità delle funzioni e dei dati (business continuity) ● Comporta nuovi obblighi (privacy) nella gestione dei dati personali e di quelli sensibili relativi ai clienti OCCORRE UN APPROCCIO SISTEMATICO E GLOBALE PER LA SICUREZZA INFORMATICA E LA GESTIONE DEI DATI RISERVATI ( PRIVACY) “Ogni nuova tecnologia apre la strada a nuovi crimini” EDILMED10 4 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► GLI OBIETTIVI DELLA SICUREZZA INFORMATICA definizione ISO, la sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite: ● Disponibilità ● Integrità ● Confidenzialità o riservatezza ● Autenticità e non ripudio EDILMED10 5 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► QUADRO NORMATIVO DI RIFERIMENTO ● ● ● ● ● ● ● ● ISO/IEC TR 13335-3 (Modello per la valutazione del rischio informatico) ISO 2700x Certificazione Sist. Gest. Sicurezza Informazioni DPR n. 445 12/2000 T.U. Su Doc. Amministrativa Legge 196/2003 (Privacy) Legge 4/2004 (Accessibilità) D.Lgs. 82/2005 (Codice amm.digitale con introduzione firma digitale) TU Dlgs 81/2008 e sue evoluzioni (Confidenzialità e riservatezza dei dati) Legge 2/2009 (PEC obbligatoria per aziende, professionisti e PA) EDILMED10 6 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LE AREE DA PROTEGGERE EDILMED10 7 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► IL SISTEMA INFORMATICO EDILMED10 8 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LE MINACCE Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Virus E’ un malware che spesso si annida all’interno del codice di un altro programma. Dopo essere stato attivato, inizia a far danni, eliminando files, occupando risorse, aprendo porte del PC, così consentendo accessi indesiderati dall’esterno Worm Come i virus, essi hanno la capacità di autoreplicarsi e sfruttano le email come veicolo di diffusione, ma non distruggono informazioni. Trojan horse Si presentano sotto le mentite spoglie di programmi innocui ed utili ma aprono porte del PC, introducono virus e worm all’interno dei pc su cui vengono eseguiti. EDILMED10 9 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LE MINACCE Spyware E’ un malware che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto Intrusioni Accesso non autorizzato dal mondo esterno di hacker su pc o server, collegati alla rete, sfruttando vulnerabilità del perimetro esterno Spamming La posta indesiderata, oltre ad essere fonte di fastidio e perdite di tempo, è il principale veicolo di diffusione di virus e di malware in generale EDILMED10 10 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► LE MINACCE Phishing Una delle più gravi minacce informatiche annidate in internet, utilizzata per ottenere informazioni personali o riservate con la finalità del furto d'identità. Grazie a messaggi che imitano grafica e logo di aziende istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.. ► QUALCHE DATO STATISTICO Secondo una statistica della Symantec, l'Italia è al secondo posto in Europa come percentuale di computer infetti: sono il 12% del totale. Inoltre l’Italia è il primo paese, di lingua non inglese, per furto di dati e di identità via computer. Secondo il CNIPA i malware arrivano per il 70% via E.mail e c.a. il 30% via Internet EDILMED10 11 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► STRUMENTI E COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO Per garantire un buon livello di sicurezza è necessario considerare il sistema informatico a tutti i livelli, esaminandone attentamente gli aspetti: - Legali (Leggi e regolamenti, normative internazionali, ecc.) - Strategici (obiettivi e budget) - Organizzativi (definizione ruoli, procedure, formazione, ecc.) - Economici (analisi dei costi, valutazione rischi, formazione) - Tecnologici (sicurezza fisica e logica) EDILMED10 12 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO Antivirus Individua ed elimina i virus Antirootkit E’ in grado di riconoscere i sistemi usati dai virus per rendersi invisibili Antispyware Identifica i programmi che raccolgono informazioni sensibili. Antispamming Filtra ed elimina le email indesiderate. Antiphishing Mette in guardia contro i tentativi di frode via internet, in particolare quelle che tentano di recuperare password dei sistemi home banking. EDILMED10 13 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO Firewall Apparato di rete hardware o software che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa. Monitoraggio di rete Identifica potenziali minacce dalla rete, ed evita la diffusione di dati personali. Protezione dai bot Difende contro gli attacchi via internet da parte dei sistemi di infezione di tipo “botnet”. Protezione del browser Verifica il contenuto dei file scaricati da internet. EDILMED10 14 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO 1. ANTIVIRUS Installare e aggiornare regolarmente un buon antivirus 2. FIREWALL Mantenere attivi sia quelli “perimetrali” hardware, a livello di router, che quelli software sul singolo computer. 3. E-MAIL Non aprire i files allegati ai messaggi di posta elettronica proveniente da mittenti sconosciuti, e, se necessario, salvare tali files su disco e sottoporli a scansione con antivirus prima di aprirli. 4. PROGRAMMI Non aprire assolutamente file eseguibili (.exe) dei quali non si conosca origine e genuinità. Lo stesso dicasi per i files che possono avere al loro interno delle macro (word, excel, ecc). EDILMED10 15 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO 5. PATCH Installare sempre le più recenti sia per il sistema operativo che per tutti i gli applicativi presenti sul pc. 6. ANOMALIE Nel caso in cui il sistema operativo presenti anomalie e malfunzionamenti, utilizzare appositi software per rilevare eventuali spyware presenti nel nostro computer. 7. JAVA, JAVASCRIPT e ACTIVE-X In assenza di un buon antivirus, disabilitarle nel nostro browser di navigazione, in quanto punto debole per la nostra sicurezza. 8. SCRIPTING POSTA ELETTRONICA Disabilitare tali funzioni dal menù di configurazione dei client di posta elettronica, visto che i pericoli spesso si annidano nei contenuti interattivi dei messaggi di posta. EDILMED10 16 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI ► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO 9. BACKUP Effettuare, ad intervalli di tempo prestabiliti e regolari, una copia dei dati importanti presenti nel computer, e custodire la stessa in luogo sicuro. 10. DISCO di RIPRISTINO Prepararne uno per riavviare il computer nel caso di sistema operativo danneggiato. 11. PASSWORD Utilizzare password di accesso efficaci (ovvero non semplici) provvedendo a cambiarle almeno ogni 90 giorni. 12. CRITTOGRAFIA Crittografare i dati più importanti presenti sui pc per renderli inutilizzabili anche in caso di furto o smarrimento. EDILMED10 17 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI Infine una rapida panoramica sugli strumenti atti a garantire l’opponibilità ai terzi, l'integrità, l'autenticità, la non ripudiabilità delle informazioni trasmesse via posta elettronica: ► LA POSTA CERTIFICATA (PEC) La PEC è uno strumento che permette di dare ad un messaggio di posta elettronica, lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale (DPR 11 Febbraio 2005 n.68, Dlgs n.2/2009). La PEC garantisce, in caso di contenzioso, l'opponibilità a terzi del messaggio. La PEC non certifica però l'identità del mittente, né trasforma il messaggio in “documento informatico”, se il mittente non usa la propria firma digitale. ► LA FIRMA DIGITALE La Firma Digitale è l'equivalente elettronico di una tradizionale firma autografa apposta su carta. Associata stabilmente ad un “documento informatico” ne attesta con certezza l'integrità, l'autenticità, la non ripudiabilità. EDILMED10 18 SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI CONCLUSIONI ► La digitalizzazione delle attività professionale comporta di dover affrontare e risolvere problemi di sicurezza informatica e di privacy. ► La sicurezza non è solo un problema tecnologico ma essenzialmente un problema di attitudine mentale e quindi di comportamenti da assumere. ► E’ necessario dotarsi dei giusti strumenti e delle giuste procedure per proteggere il valore rappresentato dalle informazioni possedute. “La tecnologia non fa la sicurezza ma senza tecnologia non si può fare sicurezza ” EDILMED10 19 EDLIMED/10 20