SICUREZZA INFORMATICA FRA PARANOIA E VIRTU'
09.12.2008
SICUREZZA INFORMATICA
ovvero
La paranoia è una virtù
Molte aziende, ma anche molti professionisti si chiedono il motivo per cui dovrebbero mai interessarsi alle problematiche relative alla sicurezza informatica. Basterebbe per convincerli invitarli ad effettuare delle semplici verifiche, visitando alcuni siti di test online, così da rendersi conto della gravità dei rischi a cui sono esposti - e con essi la loro azienda o il loro studio - nell'utilizzo delle nuove tecnologie. Tramite tali controlli è possibile accertare in tempo reale la presenza di vulnerabilità del sistema informatico utilizzato, ma soprattutto riscontrare la quantità di informazioni personali che vengono rilasciate ai siti visitati, senza saperlo ma soprattutto senza nemmeno sospettarlo.
Si va da semplici indicazioni sul proprio sistema operativo o sul browser utilizzato, a vere e proprie informazioni sensibili quali la cronologia e la tipologia dei siti già visitati, fino alla concreta possibilità di condivisione di intere parti del proprio hard disk e dei dati in esse contenuti. I rischi sono concreti e avere la consapevolezza della loro esistenza è già il primo passo per cercare di trovare un rimedio.
Al di là degli obblighi normativi e delle prescrizioni in materia di sicurezza informatica imposte dal Codice della Privacy, che poi analizzeremo, si ritiene che adottare delle misure di sicurezza per l'utilizzo dei propri sistemi informatici sia oramai un'inevitabile esigenza non solo per i professionisti e le aziende ma anche per i privati.
A differenza di quanto molti credono, il "processo sicurezza" non è un semplice prodotto da acquistare ed installare, ma comprende sia un fattore materiale che un fattore umano, il quale notoriamente costituisce l'anello debole della cd. security chain. La sicurezza quindi va intesa come un processo ove nessuna soluzione è definitiva e che va gestito continuamente, nel quale esistono solo diversi livelli, proporzionati all'importanza del bene da custodire.
Il legislatore, proprio per tali motivi, non pretende la sicurezza assoluta dei dati e dei sistemi ma esige l'adozione di un complesso di misure tecniche, informatiche, organizzative e logistiche, graduandole a seconda della tipologia del bene da tutelare, così da ridurre al minimo i rischi.
Il Codice della Privacy tratta l'argomento sicurezza al titolo V° della parte prima intestandolo "Sicurezza dei dati e dei sistemi".
Già da questa prima definizione, s'intuisce quali siano i due ambiti entro i quali bisogna operare per ottenere quel livello di sicurezza richiesto dalla legge, che si orienta non solo verso i dati ma anche verso i sistemi di trattamento e conservazione degli stessi. Per questi due ambiti sono previste le Misure Di Sicurezza.
La prima, e principale, distinzione operata dal legislatore è quella tra le Misure minime e le Misure idonee.
Il codice prevede l'obbligo di adozione delle citate misure minime da parte dei titolari del trattamento e provvede poi ad elencarle analiticamente:
a) autenticazione informatica, che è un processo atto a garantire il controllo di chi accede agli elaboratori, verificandone e convalidandone l'identità. In pratica non è altro che la procedura di riconoscimento e accesso, tramite inserimento di nome utente e password, che utilizziamo normalmente, ad esempio, per accedere al p.c. o al conto di home banking online;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione, che si rende necessario quando sono previsti profili di autorizzazione di ambito diverso per i vari incaricati. Ad esempio, al titolare di uno studio professionale sarà consentito il trattamento di tutti i dati archiviati mentre alla segretaria addetta al front desk sarà negato accedere ai dati sensibili e/o giudiziari dei clienti dello studio.
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, e quindi la verifica periodica che ciascun incaricato acceda solo ai dati ad esso necessari per l'espletamento del suo incarico.
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; tale misura, certamente basilare ed essenziale, tende ad impedire che i dati siano trattati illecitamente, e/o che si verifichino accessi non consentiti o altri danni ai dati o ai sistemi, causati dall'azione dei cd. scumware.
f) adozione di procedure per la custodia di copie di sicurezza, [e per] il ripristino della disponibilità dei dati e dei sistemi; si prescrive in sostanza l'obbligatorietà di effettuare periodicamente, delle copie di back-up dei dati predisponendo apposite procedure di custodia. Ove si trattino dati sensibili e giudiziari, è necessario adottare anche una procedura di disaster recovery e cioè l'organizzazione di un vero e proprio sistema per il ripristino dell'accesso ai dati entro il termine massimo di sette giorni dall'evento distruttivo;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Dopo aver rapidamente dato uno sguardo alle misure tecnico informatiche previste dalla legge, vediamo ora nel concreto quali potrebbero essere i primi essenziali passi per iniziare il processo sicurezza, anche utilizzando strumenti gratuiti posto che, come si dice in rete, "Software is like sex: it's better when it's free":
- attivare le varie impostazioni di sicurezza del proprio sistema operativo;
- attivare il sistema di autenticazione informatica per l'accesso al pc utilizzando solo password robuste e disattivare il cd. account guest;
- attivare, se necessario, un sistema di autorizzazione differenziata per l'accesso ai diversi dati trattati;
- impostare l'attivazione dello screensaver protetto da password dopo un'inattività di circa cinque minuti;
- creare un disco di ripristino per il riavvio del sistema operativo in caso di malfunzionamenti o danni;
- effettuare periodici back-up su supporti esterni non riscrivibili (mai sullo stesso hard-disk ove è installato il sistema operativo) e verificare sempre la bontà della copia;
- disabilitare, se non utilizzato, l'accesso remoto al p.c.;
- evitare assolutamente l'installazione di software per il p2p e di programmi superflui o di dubbia provenienza;
- disabilitare la condivisione di file e cartelle personali in rete;
- installare alcuni software per la sicurezza tra cui un firewall (ancora meglio se hardware), un antivirus e un più specifico software che rimuova i cookies e le liste MRU.
Ovviamente tali programmi dovranno essere aggiornati costantemente (meglio se manualmente e non in automatico), così come il sistema operativo e gli altri software utilizzati, installando anche le cd. patch.
Essenziale è l'utilizzo regolare di un software di cancellazione sicura dei file che ne impedisca il recupero e da impiegare soprattutto per la pulizia dei dispositivi portatili utilizzati per la memorizzazione di dati (floppy disk, penne usb, hd esterni).
Per coloro che si servono di tali supporti, appare indispensabile utilizzare un software di autenticazione e crittografazione sì da proteggere i dati in essi contenuti e impedirne la visione ad estranei in caso in smarrimento.
Utile è, infine, l'installazione di particolari plug-in del browser web per la preventiva verifica della sicurezza dei siti che ci si accinge a visitare.
Quanto fin qui illustrato per far intendere, senza pretesa di esaustività, quanti e diversi siano gli ambiti in cui operare per ottenere una maggiore sicurezza del proprio ambiente di lavoro e dei relativi strumenti informatici; ma soprattutto per far capire che, più che l'installazione di hardware e software appositi, è importante prendere coscienza del problema e iniziare a capire il funzionamento degli strumenti che utilizziamo quotidianamente. Purtroppo, anche su una macchina sicura, un utente ingenuo e inesperto rischia di creare danni.
LINK PER IL DOWNLOAD DEI SOFTWARE
(link verificati al 7/10/2008)Online Armor Personal Firewall (Ver. 2.1.0.131) Free edition
http://www.tallemu.com, http://www.download.com/Online-Armor/3000-10435_4-10831167.html?tag=lst-1
AVG Anti-Virus Free Edition Ver. 8.0 (Freeware)
http://free.grisoft.com/ww.download?prd=afe
Spybot - Search & Destroy Ver. 1.6.0.30 (Free Open-Source)
http://www.spybotsd.org/it/mirrors/index.html
CCleaner Ver. 2.12.660 (Freeware)
http://www.ccleaner.com/download
Ad-Aware 2008 Free Ver. 7.1.0.8 (Shareware)
http://www.lavasoft.com/single/mirror_download.php?f=g2Obc772A
SpywareBlaster Ver. 4.1 (Freeware)
http://www.javacoolsoftware.com/sbdownload.html
Eraser 5.86a (Freeware)
http://downloads.sourceforge.net/eraser/EraserSetup32.exe?modtime=1199873149&big_mirror=0
TrueCrypt Ver. 6.0a (Free Open-Source)
http://www.truecrypt.org/downloads.php
LETTURE E AUDIO UTILI FREE
Windows XP in sicurezza di Mario Pascucci. Apogeo
http://www.apogeonline.com/2007/libri/88-503-1008-0/ebook/pdf/8850310080_open.pdf
Vademecum per la sicurezza dei p.c. di G.Costabile
http://www.sitoflash.it/costabile/web/index.cfm?id=5CB836BA-F948-159B-BFDD741862B410DB
Guida alla sicurezza informatica Pv. Como - PolPost Lombar
http://www.anpsitalia.eu/portale/images/pdf/sicurezza%20informatica%20completo.pdf
Corso di sicurezza informatica di PcOpen
http://www.pcopen.it/01NET/HP/0,1254,4_ART_61028,00.html
Il podcast di Ventiquattrore Avvocato del Prof. G. Ziccardi, tra cui :
- Sicurezza del professionista, backup e firewall
- Sicurezza e autenticazione: accesso al computer, user id e password
- L'uso corretto dei supporti magnetici
- Le tecnologie di cifratura dei dati e di firma elettronica
- La sicurezza e la privacy delle code di stampa
- Possibile strategia per limitare al minimo i rischi di contagio
- I codici maligni e il computer
- Come difendersi dai virus e dai worm durante l'attività professionale
- Come difendersi dai virus
- Gli adempimenti formali e sostanziali in tema di sicurezza e privacy
http://www.ilmerito.ilsole24ore.com/podcast.asp
BIBLIOGRAFIAMarco D'Auria, Dizionario Internet, Editori Riuniti, 1996
Giovanni Buttarelli, Banche dati e tutela della riservatezza, Giuffrè, 1997
Francesco Brugaletta, Internet per giuristi, Simone, 1998
Ernesto Damiani, Internet. Guida pratica alla rete internazionale, Tecniche Nuove, 1999
Enrico Gianfelici, La legge sulla privacy, Fag, 1999
Emilio Tosi (a cura di), Il Codice del diritto dell'informatica e di internet, Tribuna, 2000
Giorgio Rognetta (a cura di), Informatica Giuridica, Simone, 2001
Glauco Riem, Privacy e Sicurezza, Simone, 2002
Carmelo Giurdanella, Lo studio legale on line, Simone, 2003
Giorgio Zarrelli, Sicurizza il tuo pc, Tecniche Nuove, 2003
AA.VV., Hacker & sicurezza, Guide pratiche JCE, 2003
Andrea Lisi, (a cura di), La privacy in internet, Simone, 2003
Paolo Poli, Virus & Co - Guida pratica alla sicurezza, Apogeo 2004
Luigi Manzo, Trucchi per la sicurezza del tuo pc, J. Group Editore, 2004
Rapetto - Caporale, Documento Programmatico sulla Sicurezza, EPC, 2004
Guido Scorza, Elementi di diritto dell'informatica, Simone, 2004
Ciccia - Fumagalli, Privacy, Guida agli adempimenti, Ipsoa, 2004
G.P. Cirillo (a cura di), Il Codice sulla protezione dei dati personali, Giuffrè, 2004
Imperiali - imperiali, Codice della privacy, Il Sole 24 Ore, 2004
Riccardo Acciai (a cura di), Il diritto alla protezione dei dati personali, Maggioli, 2004
Cardarelli - Sica - Zencovich, Il codice dei dati personali, Giuffrè, 2004
AA.VV., Codice della privacy, Giuffrè, 2004
AA.VV., Dizionario di Internet e delle reti, Mondadori informatica, 2004
AA.VV., Windows Xp e sicurezza - Guide Pratiche Computer Magazine, 2004
AA.VV., Il registro di Windows - Guide Pratiche Computer Magazine, 2004
Gerardo Costabile (a cura di), Sicurezza e privacy: dalla carta ai bit, Experta, 2005
Giovanni Ziccardi, Telematica giuridica, Giuffrè, 2005
Luca Graziano, Spia e non farti spiare, FAG, 2005
David D'Agostini (a cura di), L'informatica negli studi legali e nel processo civile, Experta, 2005
Davide Scullino, Proteggi il tuo pc da virus, hacker & Co., J. Group Editore, 2005
Giuseppe Santaniello (a cura di), La protezione dei dati personali, in Trattato di Dir. Amm., Cedam, 2005
AA.VV., Windows Xp. No Hacker !, Future Media, 2005
Alessandro del Ninno, La tutela dei dati personali, Cedam, 2006
Ghirardini - Faggioli, Computer Forensics, Apogeo, 2007
Borrusso - Di Giorgio - Mattioli - Ragona, L'informatica del diritto, Giuffrè, 2007
Bianca - Busnelli (a cura di), Protezione dei dati personali, Cedam 2007
Cajani - Costabile - Mazzaraco, Phishing e furto d'identità digitale, Giuffrè, 2008
Elena Faletti, E-justice, Giuffrè, 2008
Approfondimenti:
Condividi su Facebook oppure segui la newsletter
11:22 24.04.2024 Cert-FR: CERTFR-2024-AVI-0342 : Multiples vulnérabilités dans NagiosXI (24 avril 2024)
20:01 24.04.2024 gdpd Garante per la protezione dei dati personali
Privacy bot on Telegram