15.Sicurezza informatica in azienda PDF

Preview

Summary

SLIDE COSRO PROF INFORMATICA GIURIDICA PRESENTATE A LEZIONE...

Description

Sicurezza dei dati e protezione tecnologica

Raffaella Brighi Università di Bologna

Minacce e vulnerabilità • •

•

•

Il tema della sicurezza informatica riguarda tutte le componenti del sistema informativo: l’hardware, il software, i dati e le persone La minaccia rappresenta un’azione potenziale, accidentale o deliberata, che può portare alla violazione di uno o più obiettivi di sicurezza (agente esterno) La vulnerabilità è un punto debole del sistema informativo che, se colpito o sfruttato da una minaccia, porta alla violazione di uno o più obiettivi di sicurezza La misura del rischio cui è esposto un sistema informativo viene determinata dalla combinazione del valore dei beni, del livello delle minacce e del livello delle vulnerabilità

1

Categorizzazione delle minacce Minacce Utenti

Vulnerabilità Hardware Software Dati

Attività scorrette Attività illecite Non consapevolezza Social engineering …

Minacce Catastrofi naturali o incidenti imprevisiti Danneggiamenti dell’hw o errori sw accidentali Attacchi esterni intenzionali Software malevolo

Vulnerabilità del mobile • Con il modello Bring YourOwnDevice (BYOD), sempre più individui sono connessi alla rete delle loro aziende con i loro dispositivi personali e diventando, a loro volta, veicolo per attacchi su più vasta scala – Facilità di smarrimento e sottrazione, amplificata dallo scarso impiego di misure di blocco dello schermo e del dispositivo – Disomogeneità dei sistemi operativi, con numerose release da manutenere e carenza di funzionalità di sicurezza utilizzabili dall’utente – Grande quantità di informazioni e funzionalità – Impiego di app non sempre controllate adeguatamente dai gestori degli store – Uso di protocolli di trasmissione (wifi, bluetooth) non riservati e spesso condivisi in luoghi pubblici con altri utenti

Raffaella Brighi

4

2

Vulnerabilità IoT •

Nuove lacune di sicurezza che vengono sfruttate dagli aggressori, legate sia ad oggetti di largo utilizzo (consolle giochi, ecc) , sia ai nuovi sviluppi dell’Internet of Things.

•

Vulnerabilità dei dispositivi indossabili “wearable”: rappresentano un’interfaccia con la quale l’utente può accedere da dati importanti. Problemi di sicurezza dovuti al Bluetooth, allo sblocco automatico dello smartphone, ecc

•

Sono in crescita le intrusioni negli ambienti domestici con l’obiettivo di impadronirsi, delle informazioni personali presenti sui dispositivi connessi ai router domestici modificando il DNS del router di casa affinché tutti i dispositivi ad esso collegati indirizzino alla versione dannosa dei siti web ai quali tentano di accedere.

5

Raffaella Brighi

Vulnerabilità del Cloud • Vulnerabilità in relazione al software e ai protocolli (API e webservices) • Insufficienti controlli di autorizzazione • Vulnerabilità dei dati dovuta alla coabitazione con altri dati di tenant (multi-tenancy) • Dati memorizzati senza cifratura • Transito dei dati in chiaro

Raffaella Brighi

6

3

Obiettivi della sicurezza informatica •

•

•

“La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO 104559) La sicurezza informatica ha l’obiettivo di salvaguardare i sistemi da potenziali rischi e violazione dei dati, mettendo in atto una serie di misure tecniche e organizzative per prevenire incidenti informatici e per reagire agli stessi in modo da ripristinare tempestivamente il sistema, quantificare i danni e rilevare eventuali responsabilità. La sicurezza di un sistema informatico è molto legata al processo con cui il sistema viene gestito (pianificazione, analisi dei rischi, gestione dei sistemi, formazione del personale, ecc.) e limitatamente ai prodotti e alle tecnologie che vengono utilizzate

7

Raffaella Brighi

Il cuore della Information security Garanzia che i sistemi forniscano l’informazione solamente a chi è autorizzato a ottenerla

CIA Triad

confidentialy

integrity Garanzia che l’informazione sia mantenuta e trasmessa in forma inalterata

Raffaella Brighi

availabilty Garanzia che l’informazione risulti accessibile quando previsto a chi può e deve fruirne

8

4

Una politica per la sicurezza • Per garantire la sicurezza in un sistema complesso, nel quale interagiscono più soggetti, occorre: – individuare correttamente le azioni lecite che ciascun soggetto può eseguire interagendo con i beni – definire il sistema in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale che le possibili azioni illecite siano contrastate

• Un politica della sicurezza deve tenere conto dei vincoli tecnici, logistici, amministrativi, giuridici ed economici imposti dalla struttura ove opera il sistema informativo e valutare, con una metodologia di analisi e gestione dei rischi, le contromisure di tipo tecnico, logico, fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale

9

Raffaella Brighi

Stratificare le contromisure •

Prevenzione: ha l’obiettivo di impedire che una minaccia si concretizzi, controllando i punti di vulnerabilità del sistema e proteggendolo dagli attacchi.

•

Rilevazione: è finalizzata a rilevare, in seguito ad un incidente, le conseguenze dannose e ad accertare eventuali responsabilità.

•

Reazione: consente di minimizzare i danni con la riattivazione tempestiva del sistema e delle sue funzionalità, senza perdita di dati.

RIPRISTINO

RILEVAZIONE

PREVENZIONE

Raffaella Brighi

10

5

Livelli di difesa DMZ: E’ la zona in cui l’azienda conserva i dati che servono per le interazioni con l’esterno. Ai sistemi qui collocati si può accedere con un IP privato dall’interno o un IP pubblico dall’esterno. Particolare attenzione va posta alle porte e ai protocolli di questa zona Perimetro: E’ il confine tra la DMZ e l’esterno. E’ la parte dell’archittetura che controlla il flusso del traffico in entrata e in uscita dall’azienda. Porte, protocolli e servizi devono essere filtrati. Rete: E’ la parte dell’azienda che permette all’organizzazione di comunicare e condividere risorse (Data, stampanti, connessioni internet) Sistemi (server): Sono i sistemi che svolgono servizi per migliorare l’organizzazione del lavoro (mail, server print, database, applicazione) Systems (workstations):Sono i sistemi che le persone usano per connetteri a altre risorse e per compiere i loro compiti Applicazioni: Programmi che risiedono su sistemi sui server e abilitano specifiche funzioni, come ecomerce, traccia delle vendite ecc. Processi: Entità non tecnologiche che definiscono come gli strumenti tecnologici vengono utilizzati. Anche se non riguardano specificaticamente la difesa un gap tra policy e processo crea una vulnerabilità Persone: da chi gestisce la sicurezza (amministratore di sistema) a tutti gli operatori 11 Raffaella Brighi

Ambiti di applicazione

Raffaella Brighi

Livello logico

Controllo degli accessi

Livello applicativo

protezione e controllo degli applicativi

Livello sistema

controllo amministrativo

Livello rete

Canali di comunicazione

Livello fisico

Controllo logistico di sistemi e apparati

12

6

Parte quarta

Prevenzione

Controllo degli accessi

• Verifica dell’identità digitale: Autenticazione, autorizzazione e monitoraggio • Difesa perimetrale • Logistica

Raffaella Brighi

14

7

AUTENTICAZIONE

Processo per accertare univocamente l'identità di un soggetto che vuole accedere alla risorsa(hw e sw)

AUTORIZZAZIONE

• Accertare il diritto, le modalità e limiti di un soggetto identificato ad usufruire di servizi o a accedere a risorse

CONTROLLO

• registrare e monitorare gli accessi (transazioni di autenticazione e autorizzazione

Lo scopo è consentire l’accesso al sistema (o a parte di esso) solo alle persone autorizzate, fornire le informazioni adeguate, tenere traccia delle operazioni effettuate 15

Raffaella Brighi

Autenticazione • Identificazione del soggetto fisico e delle sue caratteristiche rispetto al servizio rilasciato (de visu, mista, via web) • Attribuzione al soggetto fisico di codici per l’accesso al sistema (credenziali di autenticazione) • Verifica da parte del sistema dell’autenticità del soggetto o della comunicazione (attraverso le credenziali di autenticazione) – Non solo le persone ma anche i servizi software devono dotarsi di meccanismi di autenticazione, lato server e lato client (certificati) •

L’autenticazione è la base giuridica e tecnologica delle applicazioni di eGovernment ossia di tutte le relazioni che i cittadini hanno con la pubblica amministrazione (CAD, d.lgs. 82/2005).

Raffaella Brighi

16

8

Credenziali di autenticazione • Qualcosa che l’utente sa: PIN segreti, password, ecc. • Qualcosa che l’utente possiede: smart card. • Qualcosa che l’utente è: biometria. • Spesso di usa la combinazione di credenziali di più tipo per avere un’autenticazione forte. Stabilire politiche sicure per la gestione delle credenziali di autenticazione: imporre la scelta di pwd robuste, organizzare la scadenza delle pwd, adottare eventuali sistemi di autenticazione robusta (biometrica, token hw, ecc), attivazione di funzionalità di blocco anche per i dispositivi mobili 17

Raffaella Brighi

Biometria •

La biometria è la scienza che studia metodi e strumenti per la misurazione delle caratteristiche fisiche e comportamentali dell’individuo, allo scopo di utilizzarle per il suo riconoscimento. Duplice scopo: attribuzione di un’identità e verifica di un’identità.

•

Controllo biometrico per l’accesso fisico: la biometria viene impiegata per accertare la titolarità di un soggetto ad accedere fisicamente ad una determinata area. Controllo biometrico per l’accesso logico: il controllo riguarda l’accesso a risorse informatiche.

• •

L’uso della biometria in realtà lavorative impone la valutazione di molteplici aspetti: (i) aspetti tecnologici, legati alla scelta dei dispositivi e all’implementazione del servizio; (ii) aspetti giuridici, legati al trattamento dei dati biometrici; e (iii) aspetti sociali, legati alla percezione che il lavoratore ha di determinate tecniche.

Raffaella Brighi

18

9

Fasi del processo biometrico • L’intero processo biometrico, a prescindere dalla caratteristica fisiologica o comportamentale oggetto di acquisizione, si svolge in due fasi: (1) la registrazione (enrollment) : acqusiizione della caratteristica biometrica, creazione del template e memorizzazione su smart card o database centralizzato (2) il riconoscimento che a sua volta si distingue in (a) verifica: acquisizione della caratteristica biometrica, confronto con il templete, se match autenticazione (b) identificazione: acquisizione del campione, confronto con tutti i template presenti in archivio

Raffaella Brighi

19

Trattamento di dati biometrici •

Art. 9 comma 4.Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

•

Come già più volte affermato dal Garante per la protezione dei dati personali «non può ritenersi lecito l’utilizzo generalizzato e indiscriminato di sistemi che consentono l’identificazione degli interessati mediante sistemi di rilevazione biometrica. Tali sistemi sono utilizzabili in casi particolari solo quando ciò sia realmente giustificato e proporzionato in relazione alle finalità e al contesto in cui i dati biometrici sono trattati». [Provvedimento 23 novembre 2006, Linee guida per il trattamento di dati di dipendenti privati, in G.U. 7 dicembre 2006, n. 285] Come osservato dall’Autorità «l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l'abusiva “ricostruzione” dell'impronta, partendo dal modello di riferimento, e la sua ulteriore “utilizzazione” a loro insaputa. L'utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore».

•

Raffaella Brighi

20

10

•

•

A ciò si aggiunga che anche nei casi in cui l'uso dei dati biometrici sia consentito, l’archiviazione delle informazioni personali trattate nell'ambito del descritto procedimento di riconoscimento biometrico, in una banca dati, risulta di regola sproporzionata e non necessaria. «i sistemi informativi devono essere infatti configurati in modo da ridurre al minimo l'utilizzazione di dati personali e da escluderne il trattamento, quando le finalità perseguite possono essere realizzate con modalità tali da permettere di identificare l'interessato solo in caso di necessità (artt. 3 e 11 del Codice).In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell'esclusiva disponibilità dell'interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale). Tale modalità di riconoscimento, infatti, è idonea ad assicurare che possano accedere all'area riservata solo coloro che, autorizzati preventivamente, decidano su base volontaria di avvalersi della predetta carta o del dispositivo analogo».

21

Raffaella Brighi

Autorizzazione • Le policy di autorizzazione (dette anche permissions) stabiliscono cosa un utente autenticato dal sistema puo7 fare sul sistema stesso • Per ogni utente (o gruppo di utenti) le permissions definiscono le regole di accesso ai dati (lettura, creazione, modifica, cancellazione) e le regole di accesso ai servizi. • Questi strumenti assicurano che i dati siano trattati solo da chi ne è legittimato e consentono di tracciare eventuali operazioni illegittime. Decidere quali autorizzazioni concedere ad un prefissato soggetto, valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione Raffaella Brighi

22

11

Codice privacy: misure minime • Sistemi di autenticazione informatica • Adozione di procedure di gestione delle credenziali di autenticazione • Istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. • Utilizzazione di un sistema di autorizzazione

23

Raffaella Brighi

Crittografia • Quando i diversi componenti hardware e software del sistema sono stati resi sicuri dall’adozione di tutti gli accorgimenti necessari a garantirne un corretto funzionamento, la crittografia è uno strumento efficace di protezione dei dati • Essa opera una trasformazione sui dati, applicando algoritmi con chiavi segrete che garantiscono: – Riservatezza del dato – Integrità del dato – Autenticazione del dato E’ possibile cifrare, un file, una cartella, una parte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o. dispongono di funzione di cifratura (FileVault, Bitlocker) che in maniera trasparente cifrano tutti i dati sul disco, programmi specifici (come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemi di Cloud pubblico nelle versioni professionali offrono servizi di cifratura dati del tutto trasparenti all’utente

Raffaella Brighi

24

12

Pseudonimizzazione • •

La pseudonimizzazione consiste nel sostituire un attributo (solitamente un attributo univoco) di un dato con un altro. Il risultato della pseudonimizzazione può essere un valore del tutto indipendente dal valore originale (sostituisco un CF con un numero random) oppure derivare da una trasformazione del valore originale. Le tecniche più usate sono: – – –

•

•

Crittografia a chiave segreta. Chi conosce la chiave può risalire ai dati completi Funzione di hash: gli identificatori univoci possono essere estrapolati per confronto soprattutto se è noto il tipo di attributo funzione di hash cifrato con chiave memorizzata: corrisponde a una funzione di hash particolare che utilizza una chiave segreta quale immissione aggiuntiva

La persona fisica potrebbe pertanto essere ancora identificata in maniera indiretta; di conseguenza, la pseudonimizzazione, se utilizzata da sola, non consente di ottenere un insieme di dati anonimo La pseudonimizzazione riduce la correlabilità di un insieme di dati all’identita originale di una persona interessata; in quanto tale, rappresenta una misura di sicurezza utile, ma non un metodo di anonimizzazione. 25

Raffaella Brighi

Difesa perimetrale • Strumenti che filtrano il passaggio di dati tra i computer della rete locale e la rete esterna

Raffaella Brighi

26

13

Firewall

• • • • • • • •

filtra il passaggio dei dati tra i computer della rete locale e la rete esterna può essere implementato come sw o hw apre i pacchetti IP e controlla gli header configurazione dei criteri di accesso consente un controllo completo dei dati che entrano ed escono dalla rete blocca le intrusioni, alcuni virus, spyware blocca l’esecuzione di programmi non condivisi dalle policies aziendali: chat, IM, p2p logging 27

Raffaella Brighi

Proxy • Si frappone tra server e client e fa da tramite nella navigazione • Permette la connettività • Funzioni di caching • Configurabile per eseguire controllo e monitoraggio della navigazione • Navigazione anonima

Raffaella Brighi

28

14

VPN – Virtual Private Network • Con la VPN si creano tunnel cifrati per lo scambio sicuro di informazioni sfruttando la rete Internet • Può raggiungere livelli di sicurezza di un rete chiusa (LAN) e spess viene utilizzata per collegarsi da fuori alla rete privata di un’azienda (o di un’università, ecc..). • Necessitano di autenticazione per garantire che solo gli utenti autorizzati vi possano accedere e utilizzano sistemi di crittografia per proteggere i dati in transito. • Esistono moltissimi fornitori ...