View
217
Download
0
Category
Preview:
Citation preview
Sicurezza: opportunità di Sicurezza: opportunità di crescita e salvaguardia del crescita e salvaguardia del
valorevalore
Nozioni sNozioni sulla Sicurezza nelulla Sicurezza nel
Mondo dell’Informazione Mondo dell’Informazione condivisacondivisa
L’era di InternetL’era di Internet
• Anche per la Pubblica Amministrazione Anche per la Pubblica Amministrazione l’informazione è la risorsa più importantel’informazione è la risorsa più importante
Industry Society
Il prodotto è un oggetto
Internet Society
Il prodotto è un’informazio
ne
Dato Informazione
ConoscenzaElaborazione Elaborazione
La società dell’InformazioneLa società dell’Informazione
Un’informazione Un’informazione staticastatica non è competitiva a livello di non è competitiva a livello di business (informazione business (informazione monoliticamonolitica))
L’informazione L’informazione condivisacondivisa produce nuovi livelli di produce nuovi livelli di informazione informazione nuovo business nuovo business
Se un’informazione statica viene corrotta, il danno Se un’informazione statica viene corrotta, il danno non si propaganon si propaga
Se un’informazione condivisa viene corrotta, Se un’informazione condivisa viene corrotta, anche il anche il danno è condivisodanno è condiviso business business attuali e futuriattuali e futuri corrotti corrotti
La condivisione dell’informazione implica la necessità della sicurezza
ma su Internet ….ma su Internet ….
• aumenta il numero degli attacchi aumenta il numero degli attacchi
• aumenta la loro complessità e aumenta la loro complessità e diminuisce l’esperienza necessaria diminuisce l’esperienza necessaria per realizzarli.per realizzarli.
• timori per la privacy timori per la privacy
• l’utente non si sente protetto e l’utente non si sente protetto e garantitogarantito
Solo la sicurezza può Solo la sicurezza può generare fiducia…generare fiducia…
… … la sicurezza è ormai una la sicurezza è ormai una delle sfide più importanti delle sfide più importanti
con cui deve misurarsi con cui deve misurarsi anche la PAanche la PA
I dati italiani di OCI 2001I dati italiani di OCI 2001
Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001
Quale tipo di attacco?Quale tipo di attacco?
Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001
Perché mi attaccano?Perché mi attaccano?
Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001
L’immagine è un bene prezioso!L’immagine è un bene prezioso!
Sono frequenti le notizie di violazioni ai server di grandi aziende sia private sia pubbliche: tutti i portali sono soggetti a questi rischi.
I problemi vanno dai danni provocati dalla illecita divulgazione di dati personali all’interruzione di servizi importanti per gli utenti.
I danni per la PA potrebbero avere conseguenze importanti anche a livello di immagine e potrebbero minare la fiducia dei cittadini/utenti.
E i danni?E i danni?
Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001
Quanto tempo per recuperare tutto?Quanto tempo per recuperare tutto?
Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001
La percezione dei rischiLa percezione dei rischi
Il pericolo è che alcuni utenti, allarmati dai numerosi rapporti sulle minacce alla sicurezza, rinuncino a sfruttare le potenzialità di
comunicazione offerte dalla rete.
Altri invece, potrebbero sottovalutare i rischi e potrebbero agire in modo imprudente: ad esempio utilizzando la posta elettronica senza pensare
che:
• i messaggi viaggiano "in chiaro“, possono essere letti usando semplici tecniche di “sniffing”
• chiunque può spedire messaggi a nome di un altro
• i messaggi arrivano "in differita": normalmente impiegano pochi minuti per arrivare a destinazione, ma in circostanze particolari potrebbero impiegare anche alcuni giorni o non arrivare affatto
• esistono servizi di mail forwarding che permettono la creazione di caselle postali fittizie
oppure utilizzando le password: chi ne utilizza più di una, per l’accesso al proprio PC, per il proprio account Internet, per la posta elettronica, per i vari servizi a cui si accede attraverso in rete e così via ... spesso incorre in errori molto comuni come:
• usare la stessa password per tutti i servizi
• usare una password semplice come il nome o la data di nascita di un familiare
• se le password sono diverse è difficile ricordarle tutte e si può cadere nella tentazione di scriverle in posti accessibili da altri.
L’innovazione nella PA: gli obiettivi StancaL’innovazione nella PA: gli obiettivi Stanca
Obiettivo primario per la PA è:
garantire a tutti l’accesso telematico alle informazioni e ai servizi erogati
rilevazioni, modifiche o
cancellazioni non autorizzate
delle informazioni
conseguenze sull’affidabilità conseguenze sull’affidabilità
delle informazioni e dei servizidelle informazioni e dei servizi
Ma l’apertura del patrimonio informativo verso reti Ma l’apertura del patrimonio informativo verso reti aperte comporta una serie di nuovi aperte comporta una serie di nuovi rischirischi!!
La direttiva 16 gen 2002 La direttiva 16 gen 2002
“Sicurezza informatica e delle telecomunicazioni
nelle pubbliche amministrazioni”
Ministero per l’Innovazione e le Tecnologie
““Base minima di Base minima di sicurezza”sicurezza”
L’aspetto normativoL’aspetto normativo
L’adozione delle contromisure non è più lasciata alla
discrezione delle singole Amministrazioni ma in alcuni
casi è un obbligo di legge.
Negli ultimi anni sono state emanate una serie di leggi che obbligano le Amministrazioni al rispetto di alcune regole e alla messa in opera di una serie di contromisure atte a prevenire o minimizzare i rischi di incidenti informatici.
L’aspetto normativo è fondamentale e non può essere trascurato!L’aspetto normativo è fondamentale e non può essere trascurato!
In generale il legislatore è intervenuto in tre grandi tre aree:
• La tutela della privacy del cittadino
• L’individuazione giuridica e la persecuzione della criminalità informatica
• L’emissione di norme atte a conferire dignità legale ai documenti ed in generale alle procedure informatiche
I piani di e-government, si pongono 2 obiettivi:
• semplificare i procedimenti amministrativi e burocratici
• fornire servizi ai cittadini. Tali obiettivi sono difficilmente raggiungibili se non si può confidare su adeguati livelli di sicurezza dei sistemi informativi per:
La sicurezza al servizio della PALa sicurezza al servizio della PA
Sicurezza Sicurezza FiduciaFiducia
• generare fiducia nell'utilizzo degli strumenti informatici da parte dell'utente finale.
• salvaguardare la disponibilità e l'integrità dei dati detenuti dalle amministrazioni pubbliche
Bisogna cambiare la visione della sicurezzaBisogna cambiare la visione della sicurezza
Da Da costocosto discrezionale che si deve in qualche modo sostenere, discrezionale che si deve in qualche modo sostenere, a a fattore criticofattore critico che: che:
Diversa Diversa percezionepercezione
Diverso Diverso approcciapprocci
oo
Da acquisto di Da acquisto di prodottiprodotti per risolvere problemi specifici, a per risolvere problemi specifici, a soluzioni integratesoluzioni integrate (HW, SW e servizi) basate su un’architettura (HW, SW e servizi) basate su un’architettura globale e gestite attraverso un processo continuoglobale e gestite attraverso un processo continuo
abilitaabilita proteggeprotegge garantiscgarantiscee
confidenza nell’uso dell’IT
salvaguardia della privacy e
delle informazioni
business continuity
““La sicurezza è un processo e non un La sicurezza è un processo e non un prodotto” prodotto” (Bruce Schneider)(Bruce Schneider)
L’approccio deve essere globaleL’approccio deve essere globale
SICUREZZA
PRESTAZIONIUSABILITA’
• Budget di spesa per la Budget di spesa per la sicurezzasicurezza
• Scopo dell’istituzioneScopo dell’istituzione
• Cultura dell’istituzione Cultura dell’istituzione
è necessario tener conto di:è necessario tener conto di:
Sono necessari 3 Sono necessari 3 elementi elementi opportunamente opportunamente combinati:combinati:
Bisogna trovare il giusto Bisogna trovare il giusto “compromesso” “compromesso”
٭ Tecnologie “best of Tecnologie “best of breed”breed”
٭ Security PolicySecurity Policy
٭ Educazione degli utentiEducazione degli utenti
e-bankinge-banking
Portali Portali PAPA
attenzione all’anello debole!attenzione all’anello debole!
La sicurezza di un sistema è legata alla sicurezza delle singole
componenti.
Politiche Politiche
di sicurezzadi sicurezza
InfrastruttuInfrastrutturere
di retedi rete
ApplicazioniApplicazioni
Procedure Procedure
di disaster di disaster
recoveryrecovery
Il livello di sicurezza di un sistema è determinato dal
livello di sicurezza della componente meno protetta!
OrganizzazioneOrganizzazione
è un processo ciclico!è un processo ciclico!
Aspetti tecnici
Aspetti Aspetti economicieconomici
Aspetti Aspetti organizzativorganizzativ
iiAspetti legali
Aspetti strategici
Audit e Monitoragg
io
ma io non sapevo che ….ma io non sapevo che ….
Oltre alla formazione tecnica Oltre alla formazione tecnica tradizionale...tradizionale...• Tutte le persone devono essere Tutte le persone devono essere
consapevoli delle politiche di sicurezza consapevoli delle politiche di sicurezza adottate.adottate.
• Ognuno deve essere consapevole delle Ognuno deve essere consapevole delle sue responsabilità e del potenziale sue responsabilità e del potenziale danno causato da comportamenti “a danno causato da comportamenti “a rischio”.rischio”.
Formazione e Formazione e InformazioneInformazione
Chi fa che cosa?Chi fa che cosa?
• acquisire tecnologie dell'informazione e della acquisire tecnologie dell'informazione e della comunicazione che soddisfino i requisiti di sicurezzacomunicazione che soddisfino i requisiti di sicurezza
• integrare la struttura Organizzativa esistente con integrare la struttura Organizzativa esistente con figure dedicate (Security Manager) in modo figure dedicate (Security Manager) in modo specifico alla sicurezza, definendone specifico alla sicurezza, definendone ruoliruoli e e responsabilitàresponsabilità
• sviluppare al loro interno una sviluppare al loro interno una cultura della cultura della sicurezzasicurezza
le pubbliche amministrazioni le pubbliche amministrazioni dovranno:dovranno:
ma non basta !ma non basta !
è necessario inoltre:è necessario inoltre:
La sicurezza è il fattore abilitanteLa sicurezza è il fattore abilitante
La sicurezza è il fattore
abilitante sia per tutte le
attività volte a migliorare
l’efficienza operativa interna
delle PA (piani di e-
government)
Uso della posta elettronica per le comunicazioni
interne
Digitalizzazione dei flussi di documentazione interna
Mandati di pagamento elettronici
Firma digitale
Protocollo Informaticosia per le applicazioni
dirette ad offrire ai
cittadini ed alle imprese
servizi fruibili per via
telematica.
Carta d’Identità Elettronica
Carta Nazionale dei Servizi
Uffici digitali per il cittadino
Servono delle soluzioni applicative ...Servono delle soluzioni applicative ...
Firma digitale forte e Firma digitale forte e deboledebole
Autenticazione e Autenticazione e riservatezza dei riservatezza dei documenti informaticidocumenti informatici
EasySignEasySign
… … a supporto dei servizia supporto dei servizi
TrustWebTrustWeb Protezione dei servizi Protezione dei servizi
erogati su Interneterogati su Internet
Transazioni elettroniche Transazioni elettroniche sicuresicure
Invio ordineInvio ordine
Sicurezza non è chiusura …Sicurezza non è chiusura …
Non si può pensare di Non si può pensare di chiuderechiudere tutte le comunicazioni con l’esternotutte le comunicazioni con l’esterno
Il fattore umano è centrale!Il fattore umano è centrale!
Il sistema di contromisure ideale Il sistema di contromisure ideale combina protezione, capacità di combina protezione, capacità di
rilevazione e reazionerilevazione e reazione
L’approccio alla sicurezza di Gfi OiSL’approccio alla sicurezza di Gfi OiS
Consulenza e Consulenza e AnalisiAnalisi
FormazioneFormazione
Integrazione Integrazione e Soluzioni e Soluzioni
3A3AAudit e Audit e
MonitoraggioMonitoraggio
Managed Managed Security Security ServicesServices
Grazie per l’attenzione!Grazie per l’attenzione!
Daniela GiovanardiDaniela GiovanardiDirettore MarketingDirettore Marketing
(d.giovanardi@ois.it)(d.giovanardi@ois.it)
Recommended