Dott. Antonio Lazzari - [email protected]
Nuove misure per la tutela dei dati personali
Adempimenti tecnici sulla rilevazione dei dati sensibili e trattamento degli stessi.
RELATORE:
Dott. Antonio Lazzari
Soc.Coop. Impronte
Dott. Antonio Lazzari - [email protected]
Contenuti di questo workshop:
� Capire cosa si intende per trattamento elettronico
Obie
ttiv
i del
l'inco
ntr
o
� Perché si ha la necessità di proteggere i sistemi elettronici
� Perché si ha la necessità di proteggere i dati
� Chi è Soc. Coop. Impronte?
� Quali le soluzioni migliori?
Dott. Antonio Lazzari - [email protected]
Di co
sa s
i tr
atta
?
� Riconosciuta come diritto fondamentale della dignità umana, nella Carta dei diritti fondamentali dell'Unione Europea
� Il codice garantisce che il trattamento si svolga nel rispetto dei diritti e delle dignità fondamentali dell'interessato.
È un diritto
� [...]dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto della protezione dei dati personali[...] .
Cioè di cosa parliamo?
� [...] il trattamento dei dati personali è effettuato assicurando un elevato livello di tutela dei diritti e delle libertà [...]
� nel rispetto dei principi di semplificazione...
Come funziona?
Privacy = riservatezza
Dott. Antonio Lazzari - [email protected]
Tramite l'ausilio di strumenti elettronici quali: stampanti, scanner, registratori
magnetici ed ottici in senso lato, protocolli di trasmissione e connessione, cellulari,
video e foto-camere,...
Qualunque operazione effettuata sui dati
Cosa si intende per trattamento elettronico?
Quan
do e
per
ché.
Dott. Antonio Lazzari - [email protected]
I dati devono essere trattati elettronicamente, quando è strettamente necessario
Deve essere la soluzione dei problemi
Il Sistema Informativo in risposta alle esigenze del trattamento
Inutile spendere in sistemi di protezione sovradimensionati
Deve essere economicamente accettabile
Investire in proporzione al diritto che si vuole tutelare
Deve essere economicamente vantaggioso per entrambi le parti
Van
taggi per
entr
ambe
le p
arti?
Dott. Antonio Lazzari - [email protected]
...o
solo
pre
scrizi
one?� Comunicazione non voluta di dati causata da
errori umani, evento accidentale o doloso
� Diffusione non voluta di dati causata da errori umani, evento accidentale o doloso
� Cancellazione, eliminazione o perdita dei dati o della loro consistenza
� Sicurezza nelle operazioni usuali e straordinarie di trattamento
� Garanzia di integrità nel tempo
� Altri usi fraudolenti dei dati compresa la cancellazione e la consegna a terzi non autorizzati
� Possibilità di risposta alle richieste legittime dell'interessato
Il Sistema Informativo in risposta alle esigenze di sicurezza
Dott. Antonio Lazzari - [email protected]
Van
taggi per
il tito
lare
?
� La sicurezza non è un problema occasionale Oggi sono riconosciuti dagli antivirus più di 90.000 virus. In media ne esce uno nuovo al giorno.
� Un buon antivirus non è sufficiente in quanto non protegge dai virus non riconosciuti e dagli attacchi umani
� Informazioni quali e-mail, codici di accesso, pin, password sono perennemente ricercate dai cracker che fanno di questa attività un �lavoro� molto remunerativo
� Sistemi operativi mal progettati o mal installati sono la principale via di accesso alle reti ed ai dati
� Software inutili nascondono spesso bug, back-door, trojan, sniffer, malware...
� Non è detto che ciò che costa di più sia anche la soluzione migliore
Perché adottare un sistema di protezione?
Dott. Antonio Lazzari - [email protected]
Quan
to s
iete
appet
ibili?
ATTACCHI INTERNI
Proteggersi da cosa
ATTACCHI ESTERNI
Proteggere i dati da attacchi legati a persone che si
introducono nei locali e copiano, leggono,
duplicano dati, password, codici di
accesso.
Proteggere i dati da pericoli provenienti
essenzialmente dalle connessioni internet e quindi dai tentativi di �bucare� i sistemi di protezione messi in
atto.
Quando il pericolo è umano
Dott. Antonio Lazzari - [email protected]
ERRORE UMANO
Proteggersi da cosa
SUPERFICIALITÀ
La corretta formazione all'uso degli strumenti
informatici evita la maggior parte dei problemi legati alla
perdita ed alla cancellazione errata dei dati, oltre che ai
malfunzionamenti dei programmi.
A volte un poco di accortezza e di
semplice informazione serve a evitare
problemi anche gravi.
Quando il pericolo è all'interno
Quan
to s
iete
consa
pev
oli?
Dott. Antonio Lazzari - [email protected]
HARDWARE DISASTER CRASH DEL SOFTWARE
La strumentazione elettronica può andare incontro a rotture di hard-disk, sbalzi di tensione, incendi, rotture fisiche da
usura, altre rotture non prevedibili.
I programmi possono andare in tilt, bloccarsi
causando perdita cancellazione o
diffusione di dati, permettere il
trattamento senza credenziali, dare o
bloccare erroneamente l'accesso al sistema.
Apparentemente imponderabile
Proteggersi da cosa
Quan
to inve
stite?
Dott. Antonio Lazzari - [email protected]
I problemi legati all'Hardware
Ave
te b
uone
fondam
enta?
� Rottura di hard-disk che compromettono i dati contenuti
� Rottura o smagnetizzazione accidentale dei supporti per il backup
� Funzionamento non corretto di schede o periferiche che mandano il blocco il sistema
� Sbalzi di tensione improvvisi che causano blocchi di sistema o bruciano parti delle macchine.
� Uso di supporti magnetici o ottici di scarsa qualità che si usurano velocemente
� Locali non idonei alle attrezzature che ne causano veloce usura
Alcuni dei problemi più diffusi
Dott. Antonio Lazzari - [email protected]
I problemi legati al Sistema Operativo
Ave
te u
n b
uon c
erve
llo?
� Un Sistema Operativo deve garantire una stabilità tale da permettere all'operatore di essere tranquillo
Acquistereste un'auto che si blocca 2-3 volte al giorno?
� Garantire un minimo di sicurezza intrinseca
La totalità dei pc con WinXP Home senza antivirus si infetta entro i primi 10 minuti di connessione ad
internet.
� Essere facilmente configurabile e aggiornabile
Senza connessione ADSL è spesso impossibile aggiornare WinXP (il Service Pack II �pesa� 92MB).
Quando lavorare diventa difficile o pericoloso
Dott. Antonio Lazzari - [email protected]
I problemi legati al Software
Ave
te b
uone
bra
ccia?� Il software deve garantire un uso costante e coerente con
le aspettative
MS Outlook Express è il principale veicolo di infezione da worm al mondo
� Il trattamento dei dati deve essere limitato a quello che l'operatore desidera
Un file MS Word contiene decine di informazioni riservate dell'autore e dei successivi lettori
� Il software deve essere aggiornabile con l'evoluzione della tecnologia e retrocompatibile per garantire il trattamento dei dati nel tempo
Con la prossima uscita di Windows Vista, MS Office adotterà il formato Xdoc incompatibile con le attuali
versioni *.doc, *.xls, *.mdb
Pagate per trattare o recuperare dati?
Dott. Antonio Lazzari - [email protected]
Misure minime di sicurezza
Ris
pet
tate
le
legge?� Autenticazione informatica (chi) con sistema di
autorizzazione (cosa) a credenziali (dove)
PASSWORD di almeno 8 caratteri alfanumerici
� Protezione degli strumenti informatici dall'uso non autorizzato
Firewall, antivirus, backup...
� Adozione di procedure di protezione dei dati nel tempo
Procedure di backup, protezione dei locali,...
� Redazione Documento Programmatico per la Sicurezza
Nei casi previsti
Cosa si deve fare per essere tranquilli?
Dott. Antonio Lazzari - [email protected]
Misure minime di sicurezza
Sic
uri c
he
bas
tano?� Autenticazione informatica
AAAAAAAAAA password di 10 caratteri
� Protezione degli strumenti informatici
Firewall disattivato perchè evita l'uso di Kazaa,...
� Adozione di procedure di protezione
Procedure di backup scritte e mai usate
� Redazione Documento Programmatico per la Sicurezza
Scaricato e compilato per telefono
Basta per essere davvero tranquilli?
Dott. Antonio Lazzari - [email protected]
ANALISI DEI RISCHI PIANIFICAZIONE E GESTIONE
� Censimento delle risorse
� Censimento dei dati
� Censimento dei trattamenti
� Censimento dei sistemi di protezione
� Identificazione delle vulnerabilità e appetibilità
� Identificazione del livello di rischio
� Descrizione di dettaglio dei dati e dei trattamenti
� Definizione dei compiti, delle responsabilità e del livello di formazione
� Risultanze dell'analisi dei rischi
�Pianificazione delle misure di protezione
�Affidamento degli incarichi
Lo strumento per la gestione
Documento Programmatico sulla Sicurezza
Aff
ronta
re e
ris
olv
ere!
Dott. Antonio Lazzari - [email protected]
USARE LA METODOLOGIA BS7799
� Rischio come prodotto scalare tra Gravità del danno e Probabilità che esso si manifesti
R = G x P
� Per le minacce deliberate la Probabilità è funzione delle vulnerabilità presenti nel sistema e della motivazione dell'attaccante
P = f (V,M)
� Per le minacce di tipo accidentale la Probabilità che un sinistro si verifichi è funzione della vulnerabilità del sistema e della probabilità intrinseca del sinistro
P = f (V,p)
Analisi dei rischi
Documento Programmatico sulla Sicurezza
Anal
izza
re p
er c
onosc
ere
meg
lio
Dott. Antonio Lazzari - [email protected]
VERIFICARE ALMENO:
� Diffusione di virus informatici
� Attacco umano
� Crash di un server o di un suo servizio
� Crash di un client o di un suo programma
� Analisi dei rischi fisici da 626
IL TUTTO DEVE ESSERE CONTESTUALIZZATO ALLA REALTÀ IN CUI SI OPERA, AGLI
STRUMENTI ED AL PERSONALE PRESENTE
Analisi dei rischi
Documento Programmatico sulla Sicurezza
Condiz
ioni m
inim
e di an
alis
i
Dott. Antonio Lazzari - [email protected]
PER APPETIBILITÀ ELEVATA:
METTERSI NEI PANNI DI UN CRACKER E SIMULARE UN ATTACCO AL SISTEMA
PREDISPORRE TRAPPOLE (HONEY-POT)
REGISTRARE TUTTO SISTEMATICAMENTE (SISTEMI IDS)
Analisi dei rischi
Documento Programmatico sulla Sicurezza
Quan
do è
meg
lio a
bbondar
e
Dott. Antonio Lazzari - [email protected]
Il coltellino svizzero
Documento Programmatico sulla Sicurezza
Impar
are
dai
cra
cker
Dott. Antonio Lazzari - [email protected]
HONEY-POT...IL VASO DI MIELE:
INGREDIENTI:
Un vecchio pc, meglio se un server
PREPARAZIONE:
Installare un Sistema Operativo da server (ad esempio Linux), chiamarlo Server Supersicuro, metterci un database e chiamarlo Dati Bancari e Sensibili, un sito internet e chiamarlo Intranet....
GETTARE LA RETE:
Installare un IDS e mettere il pc fuori dal firewall (DMZ)
Analisi dei rischi
Documento Programmatico sulla Sicurezza
Rubar
e ai
lad
ri
Dott. Antonio Lazzari - [email protected]
UN BUON COMPROMESSO:
CLIENT CON ACCESSO PROTETTO
SERVER CON SISTEMA DI CREDENZIALI
--------------------------------
FIREWALL AGGIORNABILE
PROXY AGGIORNABILE
-----------------------------------------
DMZ PER SITO INTERNET
IDS E HONEY-POT
Documento Programmatico sulla Sicurezza
Rubar
e ai
lad
ri
La sicurezza assoluta NON ESISTE
Intr
anet
Inte
rnet
Dott. Antonio Lazzari - [email protected]
I COSTI
LI DECIDETE
VOI!!!
I costi della Sicurezza
Ma
quan
to m
i co
sta?
Io preferirei fare le cose bene e gratuitamente...o quasi
POSSIBILE?
Vediamo come
Dott. Antonio Lazzari - [email protected]
Software proprietario
vs
Software Libero
I costi della Sicurezza
Ma
quan
to m
i co
sta?
Dott. Antonio Lazzari - [email protected]
PREMESSA - Architettura commerciale o Open Source?
Il d
iavo
lo o
l'a
cqua
santa?
Per software Open Source si intende quel software libero (FREE) che ci permette di leggerne, utilizzarne e modificarne i sorgenti. Viene rilasciato sotto licenza GPL (www.gnu.org), BSD (www.bsd.org), o simili (CopyLeft).
Premessa per il software Open Source
Il software commerciale è regolato da politiche aziendali diverse, ma comunque ha delle licenze che tolgono o limitano le libertà dell'utilizzatore (CopyRight).
Premessa per il software commerciale
Dott. Antonio Lazzari - [email protected]
CONFRONTI - Architettura commerciale o open source?
Van
t. p
er g
li utiliz
zato
ri
Open Source Commerciale
In genere il software OS è gratuito.
In genere è liberamente scaricabile
da internet.
In genere ha alle spalle una comunità di
sviluppo pronta ad aiutare.
È acquistabile dalla casa produttrice in vari
modi o è distribuito gratuitamente.
In genere è corredato da manuali ed
assistenza acquistabili anche separatamente.
Costi
Dott. Antonio Lazzari - [email protected]
CONFRONTI - Architettura commerciale o open source?
Van
t. p
er g
li utiliz
zato
ri
Open Source Commerciale
Non è detto che funzioni meglio, ma
tendenzialmente i bug sono corretti nel giro di
poco tempo.
Tutti gli utilizzatori possono segnalare o votare bug o wishes
Tutti i problemi sono risolti solo quando la
casa produttrice ne ha convenienza economica.
Non è possibile in genere segnalare o votare bug o wishes
Affidabilità
Dott. Antonio Lazzari - [email protected]
CONFRONTI - Architettura commerciale o open source?
Open Source Commerciale
Il fatto che il codice sorgente è libero evita
la presenza di funzionalità nascoste e
non desiderate.
Spesso sono presenti funzionalità nascoste o non note che vengono utilizzate dai produttori
o dai cracker per studiare ed analizzare
il comportamento dell'utente.
Sicurezza
Van
t. p
er g
li utiliz
zato
ri
Dott. Antonio Lazzari - [email protected]
CONFRONTI - Architettura commerciale o open source?
Open Source Commerciale
La libertà di lettura del codice porta coloro che ne hanno le capacità a modificarlo, migliorarlo
o utilizzarlo per gli scopi più diversi. Ciò crea imprenditoria,
relazioni e saperi legati al territorio.
Tutti i saperi, i diritti e i guadagni sono
accentrati in un'unica sede.
Economia a scala locale
Van
t. p
er la
soci
età
Dott. Antonio Lazzari - [email protected]
Alcune soluzioni pratiche
http://wwwnew.mandriva.com/
Dis
trib
uzi
oni
www.novell.com/linux/suse/
http://www.slackware.com/
http://www.ubuntulinux.org/
http://www.debian.org/
Dott. Antonio Lazzari - [email protected]
Alcuni Software Open Source
Inte
rnet
sic
uro
http://www.mozillaitalia.org
Progetto Mozilla
Dott. Antonio Lazzari - [email protected]
Alcuni Software Open Source
Uff
icio
sic
uro
http://it.openoffice.org
Progetto OpenOffice.org - Write
Dott. Antonio Lazzari - [email protected]
Alcuni Software Open Source
Uff
icio
sic
uro
http://it.openoffice.org
Progetto OpenOffice.org - Calc
Dott. Antonio Lazzari - [email protected]
Alcuni Software Open Source
Uff
icio
sic
uro
http://it.openoffice.org
Progetto OpenOffice.org - Impress
Dott. Antonio Lazzari - [email protected]
Alcuni Software Open Source
Uff
icio
sic
uro
http://it.openoffice.org
Progetto OpenOffice.org - Write
Draw
Base
Math
Dott. Antonio Lazzari - [email protected]
� La Società Cooperativa Impronte si occupa tra l'altro di �progettazione, diffusione e promozione delle conoscenze e degli strumenti nell'ambito della sostenibilità ambientale, sociale ed economica, quali efficienza energetica, mobilità, energie rinnovabili, società dell'informazione, innovazione tecnologica, valutazioni ambientali, valutazioni di sostenibilità� (Art4. comma a) dello statuto societario).
Chi è Cooperativa Impronte?
Come opera Impronte?
� La Società Cooperativa Impronte si caratterizza perchè svolge il proprio lavoro in sobrietà, ovvero con efficienza, consistenza e sufficienza; promuovendo direttamente o indirettamente il rispetto dell�ambiente, la dignità umana, la diffusione delle conoscenze, e una sempre maggiore consapevolezza delle implicazioni etiche delle scelte delle persone.
Chi Sia
mo?
Dott. Antonio Lazzari - [email protected]
Dom
ande?
GRAZIE
Per ulteriori Informazioni:
Antonio LazzariSoc. Coop. Impronte
Top Related