IT Security- SICUREZZA PERSONALE – Domande

  1. Con “Disponibilità dei dati” si garantisce l’assenza di modifiche non autorizzate nel file
    a. No, è la possibilità di accedere ai dati
    b. È corretto
    c. Dipende dal tipo di dati
    d. No, garantisce l’assenza di modifiche autorizzate
  2. Una password, per essere efficace, deve essere formata da una combinazione di lettere, numeri e caratteri speciali.
    a. No, solo lettere
    b. No, solo numeri
    c. No, solo caratteri speciali
    d. È vero
  3. I dipendenti di una azienda devono essere messi a conoscenza dei rischi di frode di identità aziendale.
    a. È falso
    b. È vero
    c. Solo i quadri dirigenziali
    d. Solo gli addetti ai terminali
Pubblicato in Senza categoria | Lascia un commento

IT Security- SICUREZZA PERSONALE – Importanza di creare e attenersi a linee guida e politiche per l’uso dell’ICT

Vista l’importanza dell’argomento, ci sono delle specifiche linee guida e politiche per l’uso dell’ICT, delle regole chiare che forniscono uno standard che deve essere seguito dagli utenti e disciplinano l’utilizzo delle tecnologie informatiche e delle telecomunicazioni (ICT) per preservare i dati, personali e aziendali, dal furto, dallo smarrimento e da un utilizzo non consentito. Assicurano una posizione chiara su come dovrebbe essere usata l’ICT per assicurare la protezione dei dati aziendali. In questo modo le aziende (come i privati) possono tutelarsi e devono, a loro volta, tutelare i propri dipendenti, clienti e fornitori.
Alcune di queste linee sono:
 Non lasciare che i dettagli dei principali conti aziendali siano di pubblico dominio, così che i frodatori possano ottenere dettagli sufficienti per intaccarli.
 Predisporre un’accurata politica di gestione e archiviazione dei documenti: è il primo passo per proteggere l’azienda e i dipendenti contro il furto di identità.
 Distruggete tutti i documenti riportanti dati sensibili: le aziende hanno il dovere di conservare e proteggere le informazioni dei propri clienti e dei propri dipendenti oltre che l’obbligo. Abbiamo visto che in Italia è in vigore il Decreto Legislativo n. 5 del 9 febbraio 2012 che dichiara che “chiunque per motivi professionali conserva o tratta dati sensibili altrui (e quindi, tutte le organizzazioni, le aziende, gli enti pubblici, i professionisti …) è soggetto alle cautele e agli obblighi previsti dalla legge in quanto responsabile civilmente e penalmente anche in modo oggettivo di ogni danno cagionato al titolare o a terzi da un trattamento non corretto; il trattamento dei dati è considerato un’ attività pericolosa e come tale gode dell’inversione dell’onere della prova (art. 2050 Codice Civile): è il responsabile del trattamento dei dati che ha l’onere di dimostrare il corretto utilizzo per evitare di incorrere in sanzioni civili e penali. L’ufficio del Garante della Privacy può richiedere alle autorità di polizia di effettuare controlli e le sanzioni per il mancato rispetto della legge possono arrivare a 80.000 euro (articoli da 161 a 172 del decreto). La legge elenca 17 possibili operazioni di trattamento dei dati. In particolare, i dati su supporti cartacei o multimediali una volta cessato il trattamento devono essere distrutti

(art. 16, c. 1-a). Distruggere i supporti, cartacei e non, è infatti il modo migliore per evitare che i criminali possano avere accesso ai dati sensibili.
 Mettere i dipendenti a conoscenza dei rischi di frode di identità aziendale: questo può garantire che rimarranno vigili.
 Assicurarsi che la procedura di gestione dei documenti sia comunicata e correttamente eseguita da tutti i dipendenti. Fare in modo che siano cauti nel fornire le informazioni dell’azienda on-line o via telefono, verificando con chi effettivamente hanno a che fare.
 Assicurarsi che il sistema operativo antivirus e firewall (che vedremo nei capitoli successivi) siano tenuti aggiornati. In questo modo i dipendenti possono aprire in sicurezza gli allegati delle e-mail ricevute.

Pubblicato in Senza categoria | Lascia un commento

IT Security- SICUREZZA PERSONALE – Principali requisiti per la protezione, conservazione e controllo di dati/privacy che si applicano in Italia

Nel gennaio 2012, la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali, in sostituzione della direttiva 95/46/CE valida per i 27 stati membri dell’Unione Europea e una direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).
In accordo con questo regolamento sulla protezione dei dati personali in Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha preso il posto del precedente Dlgs 196/2003.
Il decreto contiene un articolato pacchetto di interventi volto ad alleggerire il carico degli oneri burocratici gravanti sui cittadini e sulle imprese, con una semplificazione delle procedure amministrative, ad esempio per il cambio di residenza, comunicazioni di dati tra le amministrazioni, partecipazione a concorsi, ecc.

La legge è stata aggiornata con il testo del Regolamento generale sulla protezione dei dati, anche noto come GDPR (General Data Protection Regulation) approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e applicabile a decorrere dal 25 maggio 2018.

In estrema sintesi col GDPR:

  • Si introduce il concetto di responsabilizzazione o accountability del titolare;
  • Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
  • Si introducono regole più chiare su informativa e consenso;
  • Viene ampliata la categoria dei diritti che spettano all’interessato;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

Data breach Gdpr

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO)incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  3. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale.
  4. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

Pubblicato in Senza categoria | Lascia un commento

IT Security- SICUREZZA PERSONALE – Caratteristiche fondamentali della sicurezza delle informazioni

Riassumendo, i dati personali e/o riservati per essere sicuri, devono avere un alto fattore di confidenzialità, cioè devono essere protette da accessi o divulgazione non autorizzati.
Queste protezioni non devono comunque essere di ostacolo all’integrità dell’informazione, la quale deve essere affidabile cioè integra, completa, senza modifiche rispetto all’originale.
È fondamentale poi la disponibilità dell’informazione al momento del bisogno: non avrebbe senso esasperare la sicurezza dei dati se poi, quando servono, per qualche motivo non si riesce a recuperarli nei tempi necessari.

Pubblicato in Senza categoria | Lascia un commento

IT Security- SICUREZZA PERSONALE – Misure per prevenire accessi non autorizzati ai dati

Abbiamo visto come sia essenziale proteggere i dati riservati, propri o altrui. Esistono, come vedremo più in dettaglio nei capitoli successivi, specifiche tecniche che possono essere applicate in via preventiva, per impedire l’accesso ai dati. Il metodo più usato è l’utilizzo di Password: sono stringhe di caratteri usate per l’autenticazione dell’utente, per dimostrare l‘identità o ottenere l’accesso a una risorsa.
Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente, verifica la corretta, o almeno presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione.
La forma di autenticazione più semplice si fonda sull’utilizzo di un nome utente (per identificare l’utente) e di una password (o parola d’ordine, per autenticare l’utente).
L’autenticazione tramite nome utente è password è ormai molto diffusa nell’ambiente delle reti e di internet: per accedere alla propria postazione di lavoro in una rete aziendale o addirittura al proprio pc, per accedere alla posta elettronica in remoto, per le operazioni di home banking, per accedere a servizi di messaggistica istantanea, ecc. è sempre necessaria l’autenticazione.
Il motivo è ovvio. Il sistema a cui si vuole accedere deve essere sicuro che l’utente è proprio quello che ne ha il diritto.
Se per il nome utente non ci sono raccomandazioni particolari, può essere un nome di fantasia semplice da ricordare, la password deve essere scelta in modo oculato, non deve essere comunicata ad altre persone e, in casi di dati riservati o importanti, deve essere cambiata con regolarità.
Come deve essere una password?
La password deve essere lunga a sufficienza, composta da lettere, numeri e caratteri speciali e soprattutto non facilmente associabile alla vita dell’utente: quindi non il proprio nome, cognome, soprannome, data di nascita, indirizzo, ecc.
Ci sono tecniche che impediscono l’utilizzo dei dati se, nonostante le misure preventive, qualcuno sia venuto in possesso di queste informazioni. La Crittografia analizza come “offuscare” un messaggio in modo che non sia comprensibile a persone non autorizzate a leggerlo.

Un tale messaggio si chiama crittogramma e le tecniche usate per rendere incomprensibile il messaggio si chiamano tecniche di cifratura. La crittografia è utilizzata in tutti gli ambiti dove è necessaria la segretezza delle informazioni: informazioni militari (soprattutto in caso di conflitti), informazioni bancarie riservate, comunicazioni tra Stati, spionaggio, ecc. Esistono metodi di crittografia molto sofisticati per l’importanza dei dati che devono trattare.

Pubblicato in Senza categoria | Lascia un commento

IT Security- VALORE DELLE INFORMAZIONI – Domande

  1. L’ingegneria sociale comprende solo tecniche informatiche online.
    a. Falso, comprende solo tecniche informatiche ma non online
    b. Falso, comprende solo tecniche online ma non informatiche
    c. Vero
    d. Falso
  2. L’ingegneria sociale comprende:
    a. azioni telefoniche
    b. azioni con contatto “fisico”
    c. azioni on line
    d. tutte le risposte sono corrette
  3. Quali delle seguenti tecniche non fa parte dell’ingegneria sociale?
    a. Pishing
    b. Dialer
    c. Shoulder surfing
    d. Telefonate
Pubblicato in Senza categoria | Lascia un commento

IT Security- VALORE DELLE INFORMAZIONI – Motivi per proteggere le informazioni personali

I motivi per cui è importante proteggere i dati riguardanti le proprie informazioni personali spesso sono abbastanza evidenti. Si pensi alle conseguenze di un accesso al proprio conto corrente bancario da parte di una persona che non sia il proprietario.
Un fenomeno frequente, nel campo della violazione dei dati personali, è il furto d’identità. Il furto d’identità consiste nell’ottenere indebitamente le informazioni personali di un soggetto al fine di sostituirsi in tutto o in parte al soggetto stesso e compiere azioni illecite in suo nome o ottenere credito tramite false credenziali.
Le informazioni personali carpite possono essere: nome, cognome, indirizzo, codice fiscale, numero di telefono/cellulare, luogo e data di nascita, numero della carta di credito, estremi del conto corrente, nome dei figli, ecc.
L’attività di carpire informazioni ingannando un utente ed indurlo a rivelare dati sensibili e personali come le credenziali di accesso al proprio conto online è detta ingegneria sociale. L’ingegneria sociale si riferisce alla manipolazione delle persone, che vengono portate ad eseguire delle azioni o a divulgare informazioni riservate, invece di utilizzare tecniche di hacking per ottenere le stesse informazioni.

Attraverso operazioni di ingegneria sociale è possibile:
 Raccogliere informazioni riservate o di valore.
 Realizzare frodi, utilizzando le informazioni raccolte per commettere atti fraudolenti.
 Accedere a sistemi informatici in modo non autorizzato e, di conseguenza, consentendo potenzialmente l’accesso ad altre informazioni riservate.

Il fenomeno dell’ingegneria sociale è cresciuto proporzionalmente al diffondersi della rete internet. Infatti, nell’enorme mare di dati presente in internet è semplice reperire informazioni su una persona o un’azienda.
A tutti coloro che usano internet viene chiesto regolarmente di fornire dati personali per poter accedere a determinati siti o per poter acquistare beni. Spesso queste informazioni viaggiano sulla rete in chiaro e non in modalità protetta.
Un crescente numero di utenti, inoltre, sta fornendo un’elevata quantità di dati personali a social networks come MySpace, Facebook, chat, blog, ecc.

Ci sono poi delle tecniche specifiche di ingegneria sociale tramite internet, quali

Phishing – Questo termine identifica il furto di dati via mail. Il malvivente invia un’e-mail dichiarando di essere un incaricato di una banca o di una compagnia di carte di credito o di altre organizzazioni con cui si possono avere rapporti, richiedendo informazioni personali. Generalmente l’e-mail chiede di utilizzare un link per accedere ai dettagli del conto della vittima presso il sito della compagnia, adducendo motivazioni di sicurezza, riscuotere premi in denaro, beni tecnologici, ripristinare password scadute, etc. Cliccando su quel link, tuttavia, l’utente sarà condotto in un sito web solo all’apparenza originale, in cui dovrà fornire informazioni private. I criminali potranno poi utilizzare i dati lasciati in tale sito fittizio per rubare denaro alle loro vittime.

 Questionari on line.
 Ingannare qualcuno a proposito della propria identità durante una chat, in un forum, ecc.
 Finte promozioni o vincite: mediante la ricezione di messaggi (SMS, Email) che, con la scusa di promozioni o vincite ad esempio di un telefonino di ultima generazione, portano a un link che porta ad una azione di phishing finalizzata ad acquisire i dati personali.

Ci sono comunque altri metodi, che non comportano l’utilizzo di internet, attraverso cui i criminali recuperano le informazioni necessarie per rubare l’identità:

Bin-raiding. Documenti cartacei che non si ritiene importanti, come bollette del gas, della luce o del telefono, estratti conto e persino lettere personali e le buste in cui sono contenute, forniscono informazioni preziose che possono essere raccolte semplicemente rovistano nei rifiuti.

Contatti indesiderati. Si deve fare molta attenzione a chi ci contatta, anche telefonicamente: spesso i truffatori si dichiarano incaricati di una banca o di un ente pubblico e vi chiedono di aggiornare i vostri dati personali. Accade la stessa cosa con coloro che si presentano come ricercatori di mercato e richiedono informazioni personali.
Furto o smarrimento del portafoglio. Generalmente i portafogli contengono bancomat, carte di redito e documenti di identità come la patente di guida e le tessere di iscrizione a determinate associazioni.

  • Skimming. Lo Skimming consiste generalmente nella clonazione di una carta di credito attraverso l’apparecchiatura elettronica utilizzata negli esercizi commerciali per pagare i beni acquistati. I dati che vengono raccolti, sono poi trasmessi a organizzazioni criminali.
  • Rubare l’identità di un deceduto. I malviventi più spietati svolgono le loro attività criminali utilizzando l’identità di persone decedute, ottenendo informazioni sulla loro età, data di nascita ed indirizzo attraverso necrologi e pubblicazioni funebri.
  • Shoulder surfing (letteralmente “fare surf alle spalle”). Designa quella semplice tecnica a metà tra l’informatica e il social engineering finalizzata all’impadronirsi di codici di accesso.
Pubblicato in Senza categoria | Lascia un commento

IT Security- MINACCE AI DATI – Domande

  1. Il servizio offerto da DropBox rientra nell’ambito del Cloud Storage
    a. Vero
    b. Dipende dai file
    c. Dipende dal sistema operativo utilizzato
    d. Falso
  2. Quale può essere una minaccia ai dati riservati in un ufficio?
    a. Un impiegato interno
    b. Un consulente
    c. Un fornitore esterno
    d. Tutte le risposte sono corrette
Pubblicato in Senza categoria | Lascia un commento

IT Security- MINACCE AI DATI – Minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne

I dati privati e personali di un utente, di una azienda, di una scuola, di un ospedale, ecc. sono un bene da proteggere, sia per evitare il furto di know how aziendale sia perché c’è una legislazione sulla privacy dei dati riservati molto rigorosa.
Abbiamo visto a quali rischi possono essere soggette queste informazioni. Ma la sicurezza dei dati di una organizzazione può essere minacciata anche dagli utilizzatori di questi dati o da persone esterne che accedono casualmente ad essi.
Ad esempio, gli stessi impiegati, con le loro azioni, possono compromettere le informazioni importanti dell’azienda dove lavorano: in modo accidentale, cancellando o modificando questi dati o per scopi fraudolenti, ad esempio rubando e vendendo alla concorrenza le specifiche dei prodotti.
Anche i fornitori di servizi, ad esempio gli addetti alla manutenzione dell’hardware e del software, potrebbero accedere casualmente a informazioni e dati e provocare, in modo volontario o meno, dei danni.
In ultima analisi, se delle persone esterne possono accedere al sistema informatico senza alcun controllo, ad esempio nel caso di una rete Wi-Fi senza chiavi di protezione, i dati sono a rischio di furto o danneggiamento.
Per evitare le problematiche esposte è importante che l’incaricato alla conservazione dei dati riservati o elenchi di aziende, di persone o banche dati deve salvaguardarli dall’intrusione di altri soggetti e non divulgarli se non con esplicita autorizzazione. Un modo è impostare una corretta gestione degli accessi attraverso autorizzazioni e password.

Pubblicato in Senza categoria | Lascia un commento

IT Security- MINACCE AI DATI – Riconoscere le minacce ai dati provocate da forza maggiore

Per Forza maggiore si intende una forza superiore o un evento imprevisto che può minacciare la conservazione dei dati. Queste forze o eventi possono essere naturali o generate dall’uomo. Ad esempio incendi, inondazioni, terremoti, guerre, furti, atti vandalici, ecc. In vista di questi frangenti è opportuno adottare delle misure di sicurezza per ridurre al minimo il danno che ne può derivare.
Una buona norma da seguire è assicurarsi che per tutti i dati importanti esista una copia di riserva, una copia di backup. È consigliabile conservare anche una copia dei software che sono installati nel computer.
Come vedremo nei capitoli successivi fare il backup significa copiare i dati su di un supporto esterno come un hard disk rimovibile, un CD/DVD riscrivibile, una chiave USB, ecc. Esistono dei programmi che creano automaticamente, mentre si lavora, copie di riserva dei dati.
È fondamentale che la copia di backup non sia conservata nelle vicinanze del computer che contiene i dati originari, per evitare che una delle calamità descritte in precedenza porti alla perdita di entrambe le copie.
Esistono servizi in Internet che offrono la possibilità di effettuare dei backup su dispositivi messi in rete: si chiamano memorie online, o dischi virtuali. Uno memoria online è come in un magazzino, un hard disk virtuale, uno spazio di memoria in un sito internet che si apre solo se si possiede la password di accesso. È un sistema avanzato di backup per avere una copia dei propri dati immediatamente accessibile anche in caso di emergenza. Basta collegarsi alla rete, dovunque ci si trovi senza avere il proprio computer. Un esempio di questo servizio è Dropbox.
Inoltre può essere utile come spazio per scambio di file tra utenti (chiaramente tutti in possesso della password).

Pubblicato in Senza categoria | Lascia un commento