際際滷

際際滷Share a Scribd company logo

Alessandro Canella - convegno privacy - 23 Marzo 2004

Alessandro Canella
Alessandro Canella

Cleaned of copyrighted graphics and logos, my 際際滷Show used for Data Protection Law conventions in Chamber of Commerce of Ferrara and Cento

1 of 27
Le misure minime di sicurezza dei dati e dei sistemi IT: adempimenti organizzativi e tecnici Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
Gli attacchi informatici, storia, modalit e tipologia del rischio Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunit del nostro sistema informatico Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualit La necessit di migliorare sempre la qualit del servizio allutenza della nostra azienda passa anche per una organizzazione globale dei sistemi informativi La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato Punti di contatto tra gli intenti del management di unazienda moderna e il legislatore
Gli attacchi informatici, storia, modalit e tipologia del rischio
Secondo lInformation Technology Security Evaluation Criteria, standard europeo di sicurezza, sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando 竪 in grado di garantire il soddisfacimento delle propriet di: confidenzialit integrit disponibilit quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in: 1) La sicurezza 竪 direttamente proporzionale alla disponibilit di un sistema informatico 2) Un senso di falsa sicurezza 竪 pi湛 dannoso di una consapevole insicurezza 3) Non e` questione di se, ma di quando si presenter il danno e di quanto tempo si avra`per limitare i danni. 4) Non esiste sicurezza assoluta. Cos竪 un sistema informatico sicuro? Le informazioni devono essere disponibili solo agli interessati I dati devono essere integri per poter effettuare elaborazioni attendibili Il sistema informatico in deve garantire la massima funzionalit percentuale
Cosa mette a repentaglio la sicurezza del sistema? Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialit, integrit, disponibilit devono sempre essere garantite. A parit di qualit degli applicativi e dei calcolatori che usiamo, 竪 compito dei sistemisti trovare ed applicare soluzioni che possano maggiormente garantire il rispetto dellenunciato precedente. Il prezzo da pagare non pu嘆 essere considerato ininfluente : al giorno doggi gran parte del business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei dati non integri va di pari passo con il fornire un servizio non adeguato allutenza. $ =
Cosa mette a repentaglio la sicurezza del sistema? I PC client rappresentano un anello importante nella catena della sicurezza, e i casi di violazione aumento a una velocit allarmante. Solo nel 2002, la societ londinese Mi2g quantifica in 7 miliardi di dollari il danno derivante da attacchi digitali dolosi a livello mondiale (Mi2G Economic damage from Digital Risk Stablishing, 22 ottobre 2002). Catania - La Guardia di Finanza di Catania scopre pirati informatici che su Internet, accedendo illegittimamente alla rete telematica dell'universit catanese, violavano sistemi informatici di enti pubblici, banche e societ private italiane ed estere. Sono state denunciate sette persone (Il Giorno, 11/02/2000) Imprese sempre pi湛 nel mirino dei virus: in 20 mesi oltre un milione di casi Venti mesi di osservazione, oltre un milione di casi accertati. Questo il risultato duna ricerca la pi湛 completa, probabilmente, fin qui condotta sul problema delle infezioni on line effettuata dalla ICSA Laboratories (una divisione della TruSecure, azienda specializzata nella sicurezza on line) su un campione di 300 imprese americane, nellarco di tempo che va dal gennaio del 200 allagosto del 2001. La ricerca, commissionata da una serie di corporazioni, ha rilevato una media mensile di 113 incontri come vengono definite le scoperte di virus ogni mille macchine. Nel 1996, quando questo tipo di studio era stato effettuato per la prima volta, gli incontri erano stati 20 ogni mille macchine. Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e l intercalati da istanti di panico.(Information Security Magazine) TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi pi湛efficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003) ATTACCHI E VIOLAZIONI ALLA SICUREZZA SONO COSTATI ALLE AZIENDE 378 MILIONI DI DOLLARI NEL 2000 (da un rapporto dellFBI)
Ma ci sono casistiche che possono preoccupare effettivamente? Il 78% delle aziende e degli enti italiani 竪 vittima di un attacco al proprio sistema operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo anno, nonostante il 95% di queste avesse un sistema di protezione" Sempre pi湛 spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi interni, un dato in contraddizione con i risultati del rilevamento precedente. Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di trasporti, assicurazioni, societ di telecomunicazioni e banche (Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del Ministero油delle油Attivit油Produttive)
In un periodo particolare della mia vita, a nemmeno 20 anni, decisi di fare un "raid". Quasi 50 sistemi informatici [], furono violati. Nomi famosi, tra questi sistemi: Ente Nazionale Energia Alternativa, Consiglio Nazionale delle Ricerche, case farmaceutiche di fama mondiale, compagnie telefoniche americane ed europee, la Banca d'Italia. Il gioco non era piu' tale, si era fatto pesante e io non lo sapevo e un giorno venni arrestato per reati di natura informatica. [] La Falange Armata ce la siamo inventata per farci pubblicit, in realt la nostra unica vera attivit illecita 竪 stata quella di utilizzare numeri di carte di credito [] Ma perch辿 dovrebbero prendersela con la nostra azienda? Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione. Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di molto. D'altra parte era facilissimo, in alcune di queste aziende le password (parole chiave per entrare in un sistema) erano "prova", "Pippo" oppure "Maria [] Quando cercavo lavoro, mi sono proposto alla Fiat per curargli la sicurezza del sistema informatico", racconta poi Raoul. "Mi hanno detto che non ne avevano bisogno. Quella sera stessa ho verificato che non era cos狸". ( Raoul Chiesa nobody, ex hacker, esperto di sicurezza informatica
ESTERNO AZIENDA volontarie/fraudolente volontarie/casuali volontarie/fraudolente involontarie/casuali rivalsa spionaggio hacker spionaggio errore umano calamit script kiddies lamer D.O.S. D.D.O.S. ROOTKIT TROJAN SCRIPT HACKTOOL WORM ??? DELETE COPY D.O.S. TROJAN VIRUS P2P GUASTi ??? dati ??? ??? A quali tipi di rischi siamo normalmente esposti? INTERNO AZIENDA
26,3 22,6 19,7 14,4 7,3 6,7 5,2 2 1,7 1,7 0,8 0,6 0,6 0,3 0,3 virus perdit a servizi essenziali guast i errori ut ilizzo errori concet t uali furt i event i nat urali at t acchi logici incident i fisici frodi at t i denigrat ori divulgazione di dat i sabot aggi int rusioni est orsioni Ci sono tipologie del rischio da sottovalutare?? Fonte : Clusif 辿tude et statistique sur la sinistralit辿 informatique en France 2002
Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualit
La sicurezza informatica, 竪 oggi necessaria? Analizziamo innanzitutto gli impatti possibili su una azienda : Tangibili - perdita di dati, rilavorazione dei medesimi - utilizzo di dati non corretti nelle procedure aziendali - fermo sistemi e fermo lavorazione (compresa la produttivit del personale non IT) - costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento - costi di lavoro per la raccolta informazioni relative allaccertamento della responsabilit Intangibili - utilizzo di dati propri da parte di terzi per marketing, perdita di clienti - perdita delleventuale esclusivo know-how economico e industriale - danno di immagine e perdita di fiducia dei clienti - responsabilit per danni involontari a terzi Quale e perch辿 dovrebbe essere il nostro comportamento?
1. Identificazione degli elementi da proteggere 2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti 3. Analisi dei rischi Questi step sono meglio identificati sotto il nome di analisi del rischio, lanalisi del rischio serve a individuare i rischi cui si 竪 sottoposti ed 竪 necessaria per poter valutare quali tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e qualitative VALORE basso medio alto RISCHIO basso 油 油 油 medio 油 油 油 alto 油 油 油 Come Procedere? Analisi qualitativa Rischio = (valore del bene) X (fattore di esposizione) X (frequenza di accadimento) Analisi quantitativa
Come Procedere? SERVER ACCESS POINT CLIENT BACKUP INTERNAL NETWORK Lanalisi del rischio, produrr una tabella contenente questi elementi, ed evidenzieremo per ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la procedura adeguata VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
4. Analisi costi-benefici 5. Piano operativo 6. Regole comportamentali 7. Procedura di gestione degli incidenti Trovate le singole criticit e le relative protezioni, analizzeremo i costi-benefici perch辿 se 竪 vero che la sicurezza non 竪 mai troppa, 竪 anche vero che ogni azienda ha una sua dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo sar costituito da questi due fattori: uninsieme omogeneo fra sistemi tecnologici e procedure comportamentali. Come Procedere? SERVER ACCESS POINT CLIENT BACKUP INTERNAL NETWORK VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
Ricostruendo lanalisi sin qui effettuata, analizziamo le richieste di legge Ladozione di misure minime di sicurezza : il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dallart. 31(rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta) - I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalit previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali. - I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta. - Il trattamento dei dati 竪 consentito solo se: - sono adottate le misure minime di sicurezza individuate dal Codice - le misure minime di sicurezza sono adottate con le modalit previste dal Disciplinare tecnico (allegato B) Effettivamente cosa ci richiede la legge 196?
Misure individuate dallart. 34 del codice - Autenticazione informatica - Procedure di gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione - Aggiornamento periodico dellindividuazione dellambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici - Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti - Procedure per la custodia di copie di sicurezza, il ripristino della disponibilit dei dati e dei sistemi - Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) - Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari Effettivamente cosa ci richiede la legge 196?
Misure individuate dallallegato B - Il trattamento dei dati 竪 consentito solo agli - incaricati dotati di credenziali di autenticazione (username + password; dispositivo elettronico di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dellincaricato eventualmente associata a un codice identificativo o a una parola chiave) - prevista una gestione dei codici identificativi (username): - I criteri di definizione e assegnazione comprendono: individualit non riutilizzabilit - prevista una validit temporale (disattivazione per mancato utilizzo o per perdita qualit) - prevista una gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) - Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di custodia Effettivamente cosa ci richiede la legge 196?
Misure individuate dallallegato B - Ad ogni incaricato possono essere associate una o pi湛 credenziali - Il titolare dovr fornire agli incaricati precise istruzioni riguardanti: la gestione e conservazione delle credenziali di autenticazione la custodia dei dispositivi in possesso e uso esclusivo dellincaricato la gestione e custodia dello strumento elettronico durante le sessioni di trattamento - Deve esserci individuazione puntuale delle modalit di accesso ai dati, in caso di assenza prolungata o impedimento dellincaricato, per esigenze organizzative e di sicurezza aziendale - Profili di autorizzazione (per ciascun incaricato o per classi omogenee): - Sono previsti criteri di individuazione preventiva - Sono previste verifiche periodiche (almeno ogni anno) - Sono previsti criteri di revoca Effettivamente cosa ci richiede la legge 196?
Altre Misure - Aggiornamento periodico e verifiche (almeno ogni anno) dellambito di trattamento consentito agli incaricati e redazione della lista degli incaricati - installazione e aggiornamento software antivirus (almeno ogni 6 mesi) - aggiornamenti periodici dei software volti a prevenire la vulnerabilit di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) - istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale) Ulteriori misure in caso di trattamento dati sensibili - sono previste - istruzioni organizzative e tecniche per la custodia e luso di supporti rimovibili - istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute - adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (con un massimo di 7 giorni) - Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dallinstallatore una descrizione scritta dellintervento effettuato che ne attesta la conformit alle disposizioni del disciplinare tecnico Effettivamente cosa ci richiede la legge 196?
RICHIESTE DI LEGGE PROCEDURE STANDARD A GARANZIA DELLA QUALITA DEI SISTEMI Quale dovrebbe essere in sintesi il nostro piano di attuazione? EFFETTIVO PIANO DI GESTIONE DEL SISTEMA
Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge, idealmente includeremmo: - Un sistema di autenticazione per laccesso ai dati, gestione di password ai differenti sistemi - Laggiornamento periodico dellindividuazione dellambito un sistema di procedure di gestione delle responsabilit e degli accessi - La protezione degli strumenti elettronici e dei dati, un antivirus con gestione degli aggiornamenti e degli alerting, policy di utilizzo - L adozione di procedure per la custodia di copie di sicurezza, con garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri) - La tenuta di un aggiornato documento programmatico sulla sicurezza, che possa garantire laggiornamento progettuale ed attuativo - Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalit di contenimento dei rischi Ma leffettivo impegno profuso, in cosa si concretizza?
- I dati personali sono protetti contro il rischio di intrusione un sistema firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting - L adozione di tecniche di cifratura o di codici identificativi con gestione di chiavi crittografiche - Gli aggiornamenti periodici dei programmi per elaboratore un sistema di update dei sistemi operativi e dei software. - Sono impartite istruzioni organizzative e tecniche per la custodia e luso dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori controllo del medesimo - I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili - Sono adottate idonee misure per garantire il ripristino dellaccesso ai dati un contingency plan che comprenda il restore dei dati e dei sistemi, proceduralizzato per poter essere attuato in tempi ristrettissimi Ma leffettivo impegno profuso, in cosa si concretizza?
No, lapplicazione della legge sulla privacy, prefigura anche: - Redazione di documentazione sulle effettive responsabilit di gestione ed utilizzo nomina del titolare nomina del responsabile nomina degli incaricati elenco accessi ai diversi sistemi, natura e modalit dellautenticazione - Redazione di documentazione sulla configurazione software dei sistemi elenco attrezzature elenco software checklist di sicurezza - Redazione di documentazione sulla configurazione dei sistemi di protezione del sistema informatico elenco dei sistemi di sicurezza, modalit di mantenimento, controllo ed aggiornamento procedure sulla modalit di esecuzione e gestione dei salvataggi procedure di ripartenza dei sistemi e di gestione delle emergenze Tutta questa documentazione deve essere redatta in maniera armonica ed integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed inclusa nel documento programmatico sulla sicurezza. Pertanto una mera applicazione di software e capacita progettuali?
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA AAAAAAAAAADgAA8BCwEAAAAEAAAAcgAAAAAAAAAgAQAAEAAAACAAAAAAQAAAEAAAAAIAAAQA AAAAAAAABAAAAAAAAAAAMAEAAAQAAAAAAAACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAA AAAAAAAAAAD0IAEAawAAAACwAABobQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAdAAAAACgAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAA AADgAADAAAAAAHRhAAAAcAAAALAAAHRvAAAABAAAAAAAAAAAAAAAAAAA4AAAwAAAAABhAAAA ABAAAAAgAQAAAgAAAAIAAAAAAAAAAAAAAAAAAOAAAMAFBAYEAQDOIUAAAgAAQAAAAG4AAAAM AAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAAC70AFAAL8AEEAAviwcQQBT6AoAAAAC0nUFihZG EtLD/LKApGoCW/8UJHP3M8n/FCRzGDPA/xQkcyGzAkGwEP8UJBLAc/l1P6rr3OhDAAAAK8t1 EOg4AAAA6yis0eh0QRPJ6xyRSMHgCKzoIgAAAD0AfQAAcwqA/AVzBoP4f3cCQUGVi8WzAVaL 9yvw86Re65YzyUH/VCQEE8n/VCQEcvTDX1sPtztPdAhPdBPB5wzrB4t7AleDwwRDQ+lR//// X7soIUEAR4s3r1f/E5UzwK51/f4PdO/+D3UGR/83r+sJ/g8PhKLw/v9XVf9TBAkGrXXbi+zD HCEBAAAAAAAAAAAANCEBACghAQAAAAAAAAAAAAAAAAAAAAAAAAAAAEAhAQBOIQEAAAAAAEAh AQBOIQEAAAAAAEtFUk5FTDMyLmRsbAAATG9hZExpYnJhcnlBAABHZXRQcm9jQWRkcmVzcwDr AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAEAAgAYAQCAKAAAgAMAAABAAACADgAAAGAAAIAAAAAAAAAAAAAAAAAAAAEA ZQAAAHgAAIAAAAAAAAAAAAAAAAAAAAIAAQAAAJAAAIACAAAAqAAAgAAAAAAAAAAAAAAAAAEA AAAmAQCAwAAAgAAAAAAAAAAAAAAAAAAAAQAHBAAA2AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA 6AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA+AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAACAEAADCx AAAAaAAAAAAAAAAAAABEGQEA6AIAAAAAAAAAAAAAMEAAACgBAAAAAAAAAAAAADAZAQAiAAAA AAAAAAAAAAAGAEIASQBOAEEAUgBZAAEAMAAAAAAAAABrfWaFlBWtHdaU3cSJ5jkxSa21WPCT lzJZK9HA/RaOTkibC/U7SahjXd4/321otIeaqs3c98FEgSkIG0C6ODBOmsur3t5wGFBqh50K ds6TPEgjC6CdNZN7rjIV8vVYEeYEudN7R75kOiMW8iMOucg+gAgTXuypw1pQ+ca7eliihvH+ BKZOhikSH0oRAfDprm0Vh687q8QC/ZmshNoRyjjQjMemK1iKjEvkj8KBP4/d0gQrjoViQVpc RCQCofUL//pjNEcThyvQrFIhYOB29tPY/yF8mWd97Pk/bNiiP2WUW+j2DTqnFxOp9dMi6sWw nvjkyggxsi4BkiGP2II4tZ6x1rLKgUZ8XsW+9S/Ji25/hCze1WlfWwiU3UCXYzryPnJEh8or O18rjsHmyS6iSx58HvJ7SFS2KoUB065NYMOkJXQG7YFuOKmLZz6kIEHBlhsaL6fX2L2O7wDx 9kimzvhSeVIJise//UQYlGGngOYO+cK8/R3Dtl1ZsiPgXbQvX4G3M5dPL2tRQT3SqssXE6+c RPIrIgjovkwjDS+TuzwDO5ZxT9aMdcoLPL4mlf+QoY4aadfuOJzaTxc8hPOBOwwHftPYKcgl kil/IX4MHqULV82GzO85GtjqghWLg/Nnom7XI9tQycfRI2zCWjldmhV9ZjpG/XWq4UW4lJ05 +Tfr9wlX/1F596yCbQlgIqSy6YqsI1pPUpQdCV0IQVk8whLKDtufVb7pUszp8jvR3JOuBudv jIg6ebOdnVJErWJhPY+YbUwHwgDlTEjwkU7rh4l3fuCDsZSUzOn1l5dTlVyVr8ZAxcqsJY5H 8V0Ln7vLpmfbROjSSDuPdsue4VP7+0ERbOcAiSSgdYdO8VDOM1YrXWVhYvE9XCXLiDDLs36G aT30K6RL0rnD08Z0CeM6ckHihP+aGF0/tXGVFf19BUQ3vMTUWRmeuKC0wa3d5LplEH2g5TdO jyxo7lgVHrl3ftEVRqrJ+nDkM7GnZXXbmni/tiHc4py7ambMO/fWbb58X9DgdZr2MIalUuFk eM/C83YVcKxDCMlC1pKlhc+jwYYKdvz8dBXG5h0f1XKPyRkeXyPzHQGdovzgyf6FrmJo5PmO AQgAYBpMxKHsV2LQiUCfZxP2xWAs4K74rcAes5vdVqBXYeXeFADCX47amOz6o2FpOAE2W1A1 Zacc/sWcQrpGNGbPzJedST7hJMXZJVKNy7LLBP2V90UwX7IHSyhFxPPTlRpdlJtxYLAU3s+E ekcFyTLIwRYHVjWm16JZXIxAhQROCT/c+L5SU8juIBBaGTg21xUr52qxnAfzmZdzLksQUE+0 vr6WcDtbfnRz4lhVzqCXLuEPlcGOB25srOGhtfZXA0llkT5irGdOIYJdpth4ywJlkp4tZzMw gzWFTY/+U0A/e4Q30iVwhPG4rXCk+CakG0ZZe48xZDriMjSo+R7+LHYI6nu34GDLQyJD8Kfb x4+7coaLSI86T8fhZbtiUi0l02A582HFQrAyBI3aPmQs/2UHgqm3oeH5Q2YHwraT+ZCHz+RL 6RkZkj6zuNhdMeK/YDD6hyzsbrnX/5b7Hu7U+hNtkbC8ptcin0sBLQk0qVQikf3q/5bji4Tz lQqGIZLtkO+5LYjHMWvl2hbF9P3QgpUxFtq8jjTIi12BTMgh5i5hOdWcG3ed5DF0FXBK1S61 RT3MvlCrJKE5y0qBc4mJ0VQqx71MSz0sn07k1WWgdWMUVrF7ovQu4kr3YAVg8UW/x2G05+Gv 3cyVNf4xV7crfNOFQchKZvzrhyxUkbAqTGaC2X00bQJ3FjBQRNQugF+At7VbFaU161Bdnvlg vLTjxi+ezY5yHpRYqekL64PDrTr5fZubHvR6xAvDgZuneevur7yBGJo/vjfkcUR0PNNuNKDp 6Zh8N0TG377/TLVcHKDbJQQrlmwhpiach74ku+gCLcNA77i89FZWxaEcIWph08a0v22+Fqp2 qrXUucvnS5nZvA1rqpv5a3XoFb1rgOr3DIORtoTqJcbyiZKumdQIDmMM5GSs5g2MIwpgme3L tIaM1+V15RAnWaDzecNEPqSrsZw6ohhbhfyV91y5ZBw0j3qFISWnwYznONdhpxbs/NJzA+qB EX4pe1/pVgPpRY4d31RmDvvlOZUU9K+fdCKEojnHNRljbLadBWUCwOseejT+Bf0x5RFcR35P m6PC0e7ynrTH286difSlPdd9+YX3cb+fiD92mXig4oP0HLfaS3fru+QmsXdzwYvnJypM5tHZ 2ZRgXt4JZITF2WWePoPV/16NC9NoXws7GPbBemD8C712VZI0xQAiljWXv7Ol10ihGf1V6fsL kPRUci/U8STqcx6QxiFqbwCRzb/IursoewRVuODgmw3YZt0MjCD5MmmRktfLBXbbmisE2eLD 3+rL9tm3uUqYi5eUbw3iF3vMJiQnrzikGyW7TCYwZRLnzoDox4P0QJ0x+n8JHKtaJDUyBPKr TAshxak3Fs+N5xJyuuntAf5HSqqdozBrXQ8nchqJqX4W/aD4evqdKShlUiru4bjCz4YC0SSl 9cCqe26CwI6HbKUp+IQLvvqt0UIwhVoPYEqS3NW1PEkNZrrUibD/6k6RhODMFGu2G2/Kjchi yd6OR30K2kWdAWHPacb6Z9ECZu6+f49dQbZy/xQzxe24vYNqEl0YJNcPKKDP8zEwWtBhM4wT tK09miuWQN8IxzwCfuPjcUmVhDagqDbMTSRTyoNZfZNNvXTVfpNZ8Q0aIHu9pq0aOHsEictS BOxvwb2dtCSuM5nZ1VbJecYGZ/+xmRHqxBkiAAh+5KSQ60wJUHde6fvJiR7zy5w7yJwKJhYu dVG8/CGjpgSyoh6PHKu/AC7rJ1XCSezD+g9X2k5QLtVu5+lABP01ycF/l0m6wa2H4WalQa64 SMe0BNP/9JY1Kcs62+ypFqRcJ8GWXI1IQpW8y1sYQKa/2NR64WgyuwnNXP3MUEIsQZxUb905 dNfde9PKkU6numucTOW+NQFfzgAIYHQ+oVy2etASKXloFQZ4TdjB/cpUx1El9dyBbtV38Gz9 tJhQR8xVm/O+QkxIqcx53fM6QpMx/hTRWkOLpFZGV3XXOOBqX+6IyKO4wUB1YJpFbkJTHLXG Pz80Dp4WOftnX/HBo7E0murP3q3C/zBe+Jpx9hJlLGq6VwLIxtAsI+mBX+Z/i5OHtdSgONw3 0zkG2zp3NdX2xjv0D7U9JyGeMWlH+izvMe3omgAoN/OIfjPyryrdKXAQsmBvWiDcpmPEIAF/ 0s8tJpGuhzUEXdcTJHXFcEdF/VcAkJDGdD/w1KzCNjfyMsVnE4BeB+sZRopGQbfJgoDl2ob0 jGl66swu0NxnUnPeBzEjBCBGC4m57cwQT9s79ZAvq9Cgu0TLYebJPB1Txu8p+11KeIcFTyIY Nr/LAKeoCIHyswIZyCCfUUyxzI8l5PjkP5Afnw+alU07Q2PC23s+rZiZMnzWSfHXYxcShwem BbuxK/yZrgbggL+TGOrJFWaCBm+zOeQ27GeAWJZQn55nMNZMNUkh1WRvjgqvX0NrPiOIKVZB JLiBbwT0mk+OGRAB1wCS3E8T+RzKF8A1nmGJcTzFHGmoRzoIv+1qcAKoUGq213VlcnsIaYXx 3MJcS6NbrSW+Sc3PBU4N60T8nWVQvcSP2o5OmS3ncVKwZCioOd/SIw/Vax2WEP4zu08hwgXN Thwc4jSBNNL34YlO9VN65YDb42KMlvlBR4bxNMq6Sg40UqAxv6hBqCEze37ZJtCmgEZFn/Kz 25XelF2utCFnuxYmROjxG2BqjHCr0L2fFtL19Sy7IFjO30S/n5s5Oonwi1zD7iLs5mv3o6Gg vWi8zLByzWoJ8u69pq94jtYmna501glSCAPXJG0SC/f2GceO2HkhJZNiRkI/1MBvWEpOUUHU YZIejquPTaazbenBLNN8xT8tcbLgJPxxJ5jWtLJGz1wLN2NwJ880B4tLxY4RrtZWZPCWcyrO Il vostro prossimo nemico
BIBLIOGRAFIA : L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione Universit degli Studi di Milano, Computer Emergency Response Team Italiano) B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244) Espansione novembre 2003 : LA SICUREZZA INFORMATICA UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software) Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003) Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France 2002) Analisi del Rischio (Giorgio Giudice, 2003) Alessandro Canella acanella@aangstrom.it

Recommended

Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinar
Matteo Barberi
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
Matteo Barberi
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
Vittorio Pasteris
Cybersecurity oggi una priorit per i leader. Non pi湛 solo rischi operativi e...
Cybersecurity oggi una priorit per i leader. Non pi湛 solo rischi operativi e...Cybersecurity oggi una priorit per i leader. Non pi湛 solo rischi operativi e...
Cybersecurity oggi una priorit per i leader. Non pi湛 solo rischi operativi e...
Andrea Mennillo
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
Elena Vaciago
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
DFLABS SRL
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013
Elena Vaciago
Perch辿 oggi 竪 importante tutelare le informazioni
Perch辿 oggi 竪 importante tutelare le informazioniPerch辿 oggi 竪 importante tutelare le informazioni
Perch辿 oggi 竪 importante tutelare le informazioni
DI.TECH - Innovazione per la distribuzione
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
Mauro Alovisio
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Codemotion
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
GiulioTerzi
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
Maurizio Milazzo
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
iDIALOGHI
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
Luca Moroni
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
Strumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPRStrumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPR
Luca Moroni
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
Luca Moroni
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
Fulvio Solinas

More Related Content

What's hot (18)

TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
Mauro Alovisio
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Codemotion
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
GiulioTerzi
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
Maurizio Milazzo
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
iDIALOGHI
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
Luca Moroni
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
Strumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPRStrumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPR
Luca Moroni
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
Luca Moroni
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
Mauro Alovisio
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: LAzienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Codemotion
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
GiulioTerzi
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
Maurizio Milazzo
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
iDIALOGHI
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
Luca Moroni
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
Strumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPRStrumenti ISACA a supporto della conformit con il GDPR
Strumenti ISACA a supporto della conformit con il GDPR
Luca Moroni
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
Luca Moroni

Similar to Alessandro Canella - convegno privacy - 23 Marzo 2004 (20)

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
Fulvio Solinas
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
SWASCAN
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
Raffaella Brighi
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
SMAU
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
CentoOff
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
sonicatel2
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
vittoriomz
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
iDIALOGHI
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
iDIALOGHI
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
iDIALOGHI
Assicurazione cyber
Assicurazione cyber Assicurazione cyber
Assicurazione cyber
Anna Maria Tripodi
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
uninfoit
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
Raimondo Villano
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Data Driven Innovation
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2016
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
Vincenzo Calabr嘆
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
Fulvio Solinas
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
SWASCAN
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
Raffaella Brighi
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
SMAU
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
CentoOff
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
sonicatel2
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
vittoriomz
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
iDIALOGHI
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
iDIALOGHI
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
iDIALOGHI
Assicurazione cyber
Assicurazione cyber Assicurazione cyber
Assicurazione cyber
Anna Maria Tripodi
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
uninfoit
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
Raimondo Villano
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Data Driven Innovation
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2016
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
Vincenzo Calabr嘆

Alessandro Canella - convegno privacy - 23 Marzo 2004

  • 1. Le misure minime di sicurezza dei dati e dei sistemi IT: adempimenti organizzativi e tecnici Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
  • 2. Gli attacchi informatici, storia, modalit e tipologia del rischio Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunit del nostro sistema informatico Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualit La necessit di migliorare sempre la qualit del servizio allutenza della nostra azienda passa anche per una organizzazione globale dei sistemi informativi La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato Punti di contatto tra gli intenti del management di unazienda moderna e il legislatore
  • 3. Gli attacchi informatici, storia, modalit e tipologia del rischio
  • 4. Secondo lInformation Technology Security Evaluation Criteria, standard europeo di sicurezza, sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando 竪 in grado di garantire il soddisfacimento delle propriet di: confidenzialit integrit disponibilit quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in: 1) La sicurezza 竪 direttamente proporzionale alla disponibilit di un sistema informatico 2) Un senso di falsa sicurezza 竪 pi湛 dannoso di una consapevole insicurezza 3) Non e` questione di se, ma di quando si presenter il danno e di quanto tempo si avra`per limitare i danni. 4) Non esiste sicurezza assoluta. Cos竪 un sistema informatico sicuro? Le informazioni devono essere disponibili solo agli interessati I dati devono essere integri per poter effettuare elaborazioni attendibili Il sistema informatico in deve garantire la massima funzionalit percentuale
  • 5. Cosa mette a repentaglio la sicurezza del sistema? Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialit, integrit, disponibilit devono sempre essere garantite. A parit di qualit degli applicativi e dei calcolatori che usiamo, 竪 compito dei sistemisti trovare ed applicare soluzioni che possano maggiormente garantire il rispetto dellenunciato precedente. Il prezzo da pagare non pu嘆 essere considerato ininfluente : al giorno doggi gran parte del business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei dati non integri va di pari passo con il fornire un servizio non adeguato allutenza. $ =
  • 6. Cosa mette a repentaglio la sicurezza del sistema? I PC client rappresentano un anello importante nella catena della sicurezza, e i casi di violazione aumento a una velocit allarmante. Solo nel 2002, la societ londinese Mi2g quantifica in 7 miliardi di dollari il danno derivante da attacchi digitali dolosi a livello mondiale (Mi2G Economic damage from Digital Risk Stablishing, 22 ottobre 2002). Catania - La Guardia di Finanza di Catania scopre pirati informatici che su Internet, accedendo illegittimamente alla rete telematica dell'universit catanese, violavano sistemi informatici di enti pubblici, banche e societ private italiane ed estere. Sono state denunciate sette persone (Il Giorno, 11/02/2000) Imprese sempre pi湛 nel mirino dei virus: in 20 mesi oltre un milione di casi Venti mesi di osservazione, oltre un milione di casi accertati. Questo il risultato duna ricerca la pi湛 completa, probabilmente, fin qui condotta sul problema delle infezioni on line effettuata dalla ICSA Laboratories (una divisione della TruSecure, azienda specializzata nella sicurezza on line) su un campione di 300 imprese americane, nellarco di tempo che va dal gennaio del 200 allagosto del 2001. La ricerca, commissionata da una serie di corporazioni, ha rilevato una media mensile di 113 incontri come vengono definite le scoperte di virus ogni mille macchine. Nel 1996, quando questo tipo di studio era stato effettuato per la prima volta, gli incontri erano stati 20 ogni mille macchine. Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e l intercalati da istanti di panico.(Information Security Magazine) TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi pi湛efficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003) ATTACCHI E VIOLAZIONI ALLA SICUREZZA SONO COSTATI ALLE AZIENDE 378 MILIONI DI DOLLARI NEL 2000 (da un rapporto dellFBI)
  • 7. Ma ci sono casistiche che possono preoccupare effettivamente? Il 78% delle aziende e degli enti italiani 竪 vittima di un attacco al proprio sistema operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo anno, nonostante il 95% di queste avesse un sistema di protezione" Sempre pi湛 spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi interni, un dato in contraddizione con i risultati del rilevamento precedente. Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di trasporti, assicurazioni, societ di telecomunicazioni e banche (Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del Ministero油delle油Attivit油Produttive)
  • 8. In un periodo particolare della mia vita, a nemmeno 20 anni, decisi di fare un "raid". Quasi 50 sistemi informatici [], furono violati. Nomi famosi, tra questi sistemi: Ente Nazionale Energia Alternativa, Consiglio Nazionale delle Ricerche, case farmaceutiche di fama mondiale, compagnie telefoniche americane ed europee, la Banca d'Italia. Il gioco non era piu' tale, si era fatto pesante e io non lo sapevo e un giorno venni arrestato per reati di natura informatica. [] La Falange Armata ce la siamo inventata per farci pubblicit, in realt la nostra unica vera attivit illecita 竪 stata quella di utilizzare numeri di carte di credito [] Ma perch辿 dovrebbero prendersela con la nostra azienda? Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione. Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di molto. D'altra parte era facilissimo, in alcune di queste aziende le password (parole chiave per entrare in un sistema) erano "prova", "Pippo" oppure "Maria [] Quando cercavo lavoro, mi sono proposto alla Fiat per curargli la sicurezza del sistema informatico", racconta poi Raoul. "Mi hanno detto che non ne avevano bisogno. Quella sera stessa ho verificato che non era cos狸". ( Raoul Chiesa nobody, ex hacker, esperto di sicurezza informatica
  • 9. ESTERNO AZIENDA volontarie/fraudolente volontarie/casuali volontarie/fraudolente involontarie/casuali rivalsa spionaggio hacker spionaggio errore umano calamit script kiddies lamer D.O.S. D.D.O.S. ROOTKIT TROJAN SCRIPT HACKTOOL WORM ??? DELETE COPY D.O.S. TROJAN VIRUS P2P GUASTi ??? dati ??? ??? A quali tipi di rischi siamo normalmente esposti? INTERNO AZIENDA
  • 10. 26,3 22,6 19,7 14,4 7,3 6,7 5,2 2 1,7 1,7 0,8 0,6 0,6 0,3 0,3 virus perdit a servizi essenziali guast i errori ut ilizzo errori concet t uali furt i event i nat urali at t acchi logici incident i fisici frodi at t i denigrat ori divulgazione di dat i sabot aggi int rusioni est orsioni Ci sono tipologie del rischio da sottovalutare?? Fonte : Clusif 辿tude et statistique sur la sinistralit辿 informatique en France 2002
  • 11. Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di qualit
  • 12. La sicurezza informatica, 竪 oggi necessaria? Analizziamo innanzitutto gli impatti possibili su una azienda : Tangibili - perdita di dati, rilavorazione dei medesimi - utilizzo di dati non corretti nelle procedure aziendali - fermo sistemi e fermo lavorazione (compresa la produttivit del personale non IT) - costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento - costi di lavoro per la raccolta informazioni relative allaccertamento della responsabilit Intangibili - utilizzo di dati propri da parte di terzi per marketing, perdita di clienti - perdita delleventuale esclusivo know-how economico e industriale - danno di immagine e perdita di fiducia dei clienti - responsabilit per danni involontari a terzi Quale e perch辿 dovrebbe essere il nostro comportamento?
  • 13. 1. Identificazione degli elementi da proteggere 2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti 3. Analisi dei rischi Questi step sono meglio identificati sotto il nome di analisi del rischio, lanalisi del rischio serve a individuare i rischi cui si 竪 sottoposti ed 竪 necessaria per poter valutare quali tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e qualitative VALORE basso medio alto RISCHIO basso 油 油 油 medio 油 油 油 alto 油 油 油 Come Procedere? Analisi qualitativa Rischio = (valore del bene) X (fattore di esposizione) X (frequenza di accadimento) Analisi quantitativa
  • 14. Come Procedere? SERVER ACCESS POINT CLIENT BACKUP INTERNAL NETWORK Lanalisi del rischio, produrr una tabella contenente questi elementi, ed evidenzieremo per ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la procedura adeguata VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
  • 15. 4. Analisi costi-benefici 5. Piano operativo 6. Regole comportamentali 7. Procedura di gestione degli incidenti Trovate le singole criticit e le relative protezioni, analizzeremo i costi-benefici perch辿 se 竪 vero che la sicurezza non 竪 mai troppa, 竪 anche vero che ogni azienda ha una sua dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo sar costituito da questi due fattori: uninsieme omogeneo fra sistemi tecnologici e procedure comportamentali. Come Procedere? SERVER ACCESS POINT CLIENT BACKUP INTERNAL NETWORK VIRUS ACCESSI UPS PATCH DATI ACCESSI FIREWALL VPN UPS VIRUS ACCESSI UPS PATCH DATI PROCEDURA STORICO CONSERVAZI ONE ACCESSI PROCEDURE PERIMETRO NODI
  • 16. La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
  • 17. Ricostruendo lanalisi sin qui effettuata, analizziamo le richieste di legge Ladozione di misure minime di sicurezza : il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dallart. 31(rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta) - I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalit previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali. - I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta. - Il trattamento dei dati 竪 consentito solo se: - sono adottate le misure minime di sicurezza individuate dal Codice - le misure minime di sicurezza sono adottate con le modalit previste dal Disciplinare tecnico (allegato B) Effettivamente cosa ci richiede la legge 196?
  • 18. Misure individuate dallart. 34 del codice - Autenticazione informatica - Procedure di gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione - Aggiornamento periodico dellindividuazione dellambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici - Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti - Procedure per la custodia di copie di sicurezza, il ripristino della disponibilit dei dati e dei sistemi - Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) - Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari Effettivamente cosa ci richiede la legge 196?
  • 19. Misure individuate dallallegato B - Il trattamento dei dati 竪 consentito solo agli - incaricati dotati di credenziali di autenticazione (username + password; dispositivo elettronico di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dellincaricato eventualmente associata a un codice identificativo o a una parola chiave) - prevista una gestione dei codici identificativi (username): - I criteri di definizione e assegnazione comprendono: individualit non riutilizzabilit - prevista una validit temporale (disattivazione per mancato utilizzo o per perdita qualit) - prevista una gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) - Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di custodia Effettivamente cosa ci richiede la legge 196?
  • 20. Misure individuate dallallegato B - Ad ogni incaricato possono essere associate una o pi湛 credenziali - Il titolare dovr fornire agli incaricati precise istruzioni riguardanti: la gestione e conservazione delle credenziali di autenticazione la custodia dei dispositivi in possesso e uso esclusivo dellincaricato la gestione e custodia dello strumento elettronico durante le sessioni di trattamento - Deve esserci individuazione puntuale delle modalit di accesso ai dati, in caso di assenza prolungata o impedimento dellincaricato, per esigenze organizzative e di sicurezza aziendale - Profili di autorizzazione (per ciascun incaricato o per classi omogenee): - Sono previsti criteri di individuazione preventiva - Sono previste verifiche periodiche (almeno ogni anno) - Sono previsti criteri di revoca Effettivamente cosa ci richiede la legge 196?
  • 21. Altre Misure - Aggiornamento periodico e verifiche (almeno ogni anno) dellambito di trattamento consentito agli incaricati e redazione della lista degli incaricati - installazione e aggiornamento software antivirus (almeno ogni 6 mesi) - aggiornamenti periodici dei software volti a prevenire la vulnerabilit di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) - istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale) Ulteriori misure in caso di trattamento dati sensibili - sono previste - istruzioni organizzative e tecniche per la custodia e luso di supporti rimovibili - istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute - adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (con un massimo di 7 giorni) - Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dallinstallatore una descrizione scritta dellintervento effettuato che ne attesta la conformit alle disposizioni del disciplinare tecnico Effettivamente cosa ci richiede la legge 196?
  • 22. RICHIESTE DI LEGGE PROCEDURE STANDARD A GARANZIA DELLA QUALITA DEI SISTEMI Quale dovrebbe essere in sintesi il nostro piano di attuazione? EFFETTIVO PIANO DI GESTIONE DEL SISTEMA
  • 23. Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge, idealmente includeremmo: - Un sistema di autenticazione per laccesso ai dati, gestione di password ai differenti sistemi - Laggiornamento periodico dellindividuazione dellambito un sistema di procedure di gestione delle responsabilit e degli accessi - La protezione degli strumenti elettronici e dei dati, un antivirus con gestione degli aggiornamenti e degli alerting, policy di utilizzo - L adozione di procedure per la custodia di copie di sicurezza, con garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri) - La tenuta di un aggiornato documento programmatico sulla sicurezza, che possa garantire laggiornamento progettuale ed attuativo - Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalit di contenimento dei rischi Ma leffettivo impegno profuso, in cosa si concretizza?
  • 24. - I dati personali sono protetti contro il rischio di intrusione un sistema firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting - L adozione di tecniche di cifratura o di codici identificativi con gestione di chiavi crittografiche - Gli aggiornamenti periodici dei programmi per elaboratore un sistema di update dei sistemi operativi e dei software. - Sono impartite istruzioni organizzative e tecniche per la custodia e luso dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori controllo del medesimo - I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili - Sono adottate idonee misure per garantire il ripristino dellaccesso ai dati un contingency plan che comprenda il restore dei dati e dei sistemi, proceduralizzato per poter essere attuato in tempi ristrettissimi Ma leffettivo impegno profuso, in cosa si concretizza?
  • 25. No, lapplicazione della legge sulla privacy, prefigura anche: - Redazione di documentazione sulle effettive responsabilit di gestione ed utilizzo nomina del titolare nomina del responsabile nomina degli incaricati elenco accessi ai diversi sistemi, natura e modalit dellautenticazione - Redazione di documentazione sulla configurazione software dei sistemi elenco attrezzature elenco software checklist di sicurezza - Redazione di documentazione sulla configurazione dei sistemi di protezione del sistema informatico elenco dei sistemi di sicurezza, modalit di mantenimento, controllo ed aggiornamento procedure sulla modalit di esecuzione e gestione dei salvataggi procedure di ripartenza dei sistemi e di gestione delle emergenze Tutta questa documentazione deve essere redatta in maniera armonica ed integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed inclusa nel documento programmatico sulla sicurezza. Pertanto una mera applicazione di software e capacita progettuali?
  • 26. TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA AAAAAAAAAADgAA8BCwEAAAAEAAAAcgAAAAAAAAAgAQAAEAAAACAAAAAAQAAAEAAAAAIAAAQA AAAAAAAABAAAAAAAAAAAMAEAAAQAAAAAAAACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAA AAAAAAAAAAD0IAEAawAAAACwAABobQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAdAAAAACgAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAA AADgAADAAAAAAHRhAAAAcAAAALAAAHRvAAAABAAAAAAAAAAAAAAAAAAA4AAAwAAAAABhAAAA ABAAAAAgAQAAAgAAAAIAAAAAAAAAAAAAAAAAAOAAAMAFBAYEAQDOIUAAAgAAQAAAAG4AAAAM AAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAAC70AFAAL8AEEAAviwcQQBT6AoAAAAC0nUFihZG EtLD/LKApGoCW/8UJHP3M8n/FCRzGDPA/xQkcyGzAkGwEP8UJBLAc/l1P6rr3OhDAAAAK8t1 EOg4AAAA6yis0eh0QRPJ6xyRSMHgCKzoIgAAAD0AfQAAcwqA/AVzBoP4f3cCQUGVi8WzAVaL 9yvw86Re65YzyUH/VCQEE8n/VCQEcvTDX1sPtztPdAhPdBPB5wzrB4t7AleDwwRDQ+lR//// X7soIUEAR4s3r1f/E5UzwK51/f4PdO/+D3UGR/83r+sJ/g8PhKLw/v9XVf9TBAkGrXXbi+zD HCEBAAAAAAAAAAAANCEBACghAQAAAAAAAAAAAAAAAAAAAAAAAAAAAEAhAQBOIQEAAAAAAEAh AQBOIQEAAAAAAEtFUk5FTDMyLmRsbAAATG9hZExpYnJhcnlBAABHZXRQcm9jQWRkcmVzcwDr AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAEAAgAYAQCAKAAAgAMAAABAAACADgAAAGAAAIAAAAAAAAAAAAAAAAAAAAEA ZQAAAHgAAIAAAAAAAAAAAAAAAAAAAAIAAQAAAJAAAIACAAAAqAAAgAAAAAAAAAAAAAAAAAEA AAAmAQCAwAAAgAAAAAAAAAAAAAAAAAAAAQAHBAAA2AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA 6AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAA+AAAAAAAAAAAAAAAAAAAAAAAAQAHBAAACAEAADCx AAAAaAAAAAAAAAAAAABEGQEA6AIAAAAAAAAAAAAAMEAAACgBAAAAAAAAAAAAADAZAQAiAAAA AAAAAAAAAAAGAEIASQBOAEEAUgBZAAEAMAAAAAAAAABrfWaFlBWtHdaU3cSJ5jkxSa21WPCT lzJZK9HA/RaOTkibC/U7SahjXd4/321otIeaqs3c98FEgSkIG0C6ODBOmsur3t5wGFBqh50K ds6TPEgjC6CdNZN7rjIV8vVYEeYEudN7R75kOiMW8iMOucg+gAgTXuypw1pQ+ca7eliihvH+ BKZOhikSH0oRAfDprm0Vh687q8QC/ZmshNoRyjjQjMemK1iKjEvkj8KBP4/d0gQrjoViQVpc RCQCofUL//pjNEcThyvQrFIhYOB29tPY/yF8mWd97Pk/bNiiP2WUW+j2DTqnFxOp9dMi6sWw nvjkyggxsi4BkiGP2II4tZ6x1rLKgUZ8XsW+9S/Ji25/hCze1WlfWwiU3UCXYzryPnJEh8or O18rjsHmyS6iSx58HvJ7SFS2KoUB065NYMOkJXQG7YFuOKmLZz6kIEHBlhsaL6fX2L2O7wDx 9kimzvhSeVIJise//UQYlGGngOYO+cK8/R3Dtl1ZsiPgXbQvX4G3M5dPL2tRQT3SqssXE6+c RPIrIgjovkwjDS+TuzwDO5ZxT9aMdcoLPL4mlf+QoY4aadfuOJzaTxc8hPOBOwwHftPYKcgl kil/IX4MHqULV82GzO85GtjqghWLg/Nnom7XI9tQycfRI2zCWjldmhV9ZjpG/XWq4UW4lJ05 +Tfr9wlX/1F596yCbQlgIqSy6YqsI1pPUpQdCV0IQVk8whLKDtufVb7pUszp8jvR3JOuBudv jIg6ebOdnVJErWJhPY+YbUwHwgDlTEjwkU7rh4l3fuCDsZSUzOn1l5dTlVyVr8ZAxcqsJY5H 8V0Ln7vLpmfbROjSSDuPdsue4VP7+0ERbOcAiSSgdYdO8VDOM1YrXWVhYvE9XCXLiDDLs36G aT30K6RL0rnD08Z0CeM6ckHihP+aGF0/tXGVFf19BUQ3vMTUWRmeuKC0wa3d5LplEH2g5TdO jyxo7lgVHrl3ftEVRqrJ+nDkM7GnZXXbmni/tiHc4py7ambMO/fWbb58X9DgdZr2MIalUuFk eM/C83YVcKxDCMlC1pKlhc+jwYYKdvz8dBXG5h0f1XKPyRkeXyPzHQGdovzgyf6FrmJo5PmO AQgAYBpMxKHsV2LQiUCfZxP2xWAs4K74rcAes5vdVqBXYeXeFADCX47amOz6o2FpOAE2W1A1 Zacc/sWcQrpGNGbPzJedST7hJMXZJVKNy7LLBP2V90UwX7IHSyhFxPPTlRpdlJtxYLAU3s+E ekcFyTLIwRYHVjWm16JZXIxAhQROCT/c+L5SU8juIBBaGTg21xUr52qxnAfzmZdzLksQUE+0 vr6WcDtbfnRz4lhVzqCXLuEPlcGOB25srOGhtfZXA0llkT5irGdOIYJdpth4ywJlkp4tZzMw gzWFTY/+U0A/e4Q30iVwhPG4rXCk+CakG0ZZe48xZDriMjSo+R7+LHYI6nu34GDLQyJD8Kfb x4+7coaLSI86T8fhZbtiUi0l02A582HFQrAyBI3aPmQs/2UHgqm3oeH5Q2YHwraT+ZCHz+RL 6RkZkj6zuNhdMeK/YDD6hyzsbrnX/5b7Hu7U+hNtkbC8ptcin0sBLQk0qVQikf3q/5bji4Tz lQqGIZLtkO+5LYjHMWvl2hbF9P3QgpUxFtq8jjTIi12BTMgh5i5hOdWcG3ed5DF0FXBK1S61 RT3MvlCrJKE5y0qBc4mJ0VQqx71MSz0sn07k1WWgdWMUVrF7ovQu4kr3YAVg8UW/x2G05+Gv 3cyVNf4xV7crfNOFQchKZvzrhyxUkbAqTGaC2X00bQJ3FjBQRNQugF+At7VbFaU161Bdnvlg vLTjxi+ezY5yHpRYqekL64PDrTr5fZubHvR6xAvDgZuneevur7yBGJo/vjfkcUR0PNNuNKDp 6Zh8N0TG377/TLVcHKDbJQQrlmwhpiach74ku+gCLcNA77i89FZWxaEcIWph08a0v22+Fqp2 qrXUucvnS5nZvA1rqpv5a3XoFb1rgOr3DIORtoTqJcbyiZKumdQIDmMM5GSs5g2MIwpgme3L tIaM1+V15RAnWaDzecNEPqSrsZw6ohhbhfyV91y5ZBw0j3qFISWnwYznONdhpxbs/NJzA+qB EX4pe1/pVgPpRY4d31RmDvvlOZUU9K+fdCKEojnHNRljbLadBWUCwOseejT+Bf0x5RFcR35P m6PC0e7ynrTH286difSlPdd9+YX3cb+fiD92mXig4oP0HLfaS3fru+QmsXdzwYvnJypM5tHZ 2ZRgXt4JZITF2WWePoPV/16NC9NoXws7GPbBemD8C712VZI0xQAiljWXv7Ol10ihGf1V6fsL kPRUci/U8STqcx6QxiFqbwCRzb/IursoewRVuODgmw3YZt0MjCD5MmmRktfLBXbbmisE2eLD 3+rL9tm3uUqYi5eUbw3iF3vMJiQnrzikGyW7TCYwZRLnzoDox4P0QJ0x+n8JHKtaJDUyBPKr TAshxak3Fs+N5xJyuuntAf5HSqqdozBrXQ8nchqJqX4W/aD4evqdKShlUiru4bjCz4YC0SSl 9cCqe26CwI6HbKUp+IQLvvqt0UIwhVoPYEqS3NW1PEkNZrrUibD/6k6RhODMFGu2G2/Kjchi yd6OR30K2kWdAWHPacb6Z9ECZu6+f49dQbZy/xQzxe24vYNqEl0YJNcPKKDP8zEwWtBhM4wT tK09miuWQN8IxzwCfuPjcUmVhDagqDbMTSRTyoNZfZNNvXTVfpNZ8Q0aIHu9pq0aOHsEictS BOxvwb2dtCSuM5nZ1VbJecYGZ/+xmRHqxBkiAAh+5KSQ60wJUHde6fvJiR7zy5w7yJwKJhYu dVG8/CGjpgSyoh6PHKu/AC7rJ1XCSezD+g9X2k5QLtVu5+lABP01ycF/l0m6wa2H4WalQa64 SMe0BNP/9JY1Kcs62+ypFqRcJ8GWXI1IQpW8y1sYQKa/2NR64WgyuwnNXP3MUEIsQZxUb905 dNfde9PKkU6numucTOW+NQFfzgAIYHQ+oVy2etASKXloFQZ4TdjB/cpUx1El9dyBbtV38Gz9 tJhQR8xVm/O+QkxIqcx53fM6QpMx/hTRWkOLpFZGV3XXOOBqX+6IyKO4wUB1YJpFbkJTHLXG Pz80Dp4WOftnX/HBo7E0murP3q3C/zBe+Jpx9hJlLGq6VwLIxtAsI+mBX+Z/i5OHtdSgONw3 0zkG2zp3NdX2xjv0D7U9JyGeMWlH+izvMe3omgAoN/OIfjPyryrdKXAQsmBvWiDcpmPEIAF/ 0s8tJpGuhzUEXdcTJHXFcEdF/VcAkJDGdD/w1KzCNjfyMsVnE4BeB+sZRopGQbfJgoDl2ob0 jGl66swu0NxnUnPeBzEjBCBGC4m57cwQT9s79ZAvq9Cgu0TLYebJPB1Txu8p+11KeIcFTyIY Nr/LAKeoCIHyswIZyCCfUUyxzI8l5PjkP5Afnw+alU07Q2PC23s+rZiZMnzWSfHXYxcShwem BbuxK/yZrgbggL+TGOrJFWaCBm+zOeQ27GeAWJZQn55nMNZMNUkh1WRvjgqvX0NrPiOIKVZB JLiBbwT0mk+OGRAB1wCS3E8T+RzKF8A1nmGJcTzFHGmoRzoIv+1qcAKoUGq213VlcnsIaYXx 3MJcS6NbrSW+Sc3PBU4N60T8nWVQvcSP2o5OmS3ncVKwZCioOd/SIw/Vax2WEP4zu08hwgXN Thwc4jSBNNL34YlO9VN65YDb42KMlvlBR4bxNMq6Sg40UqAxv6hBqCEze37ZJtCmgEZFn/Kz 25XelF2utCFnuxYmROjxG2BqjHCr0L2fFtL19Sy7IFjO30S/n5s5Oonwi1zD7iLs5mv3o6Gg vWi8zLByzWoJ8u69pq94jtYmna501glSCAPXJG0SC/f2GceO2HkhJZNiRkI/1MBvWEpOUUHU YZIejquPTaazbenBLNN8xT8tcbLgJPxxJ5jWtLJGz1wLN2NwJ880B4tLxY4RrtZWZPCWcyrO Il vostro prossimo nemico
  • 27. BIBLIOGRAFIA : L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione Universit degli Studi di Milano, Computer Emergency Response Team Italiano) B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244) Espansione novembre 2003 : LA SICUREZZA INFORMATICA UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software) Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003) Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France 2002) Analisi del Rischio (Giorgio Giudice, 2003) Alessandro Canella acanella@aangstrom.it
AboutCopyright
息 2025 際際滷