La sicurezza è una metodologia

November 2013 | Alfredo Visconti | [email protected]

La sicurezza è una metodologia La paura nell’era digitale? A meno di non voler usare il computer come una macchina da scrivere, non connesso ad internet, senza posta elettronica, senza sfruttarne le molteplici capacità di interagire dobbiamo convincerci che la sicurezza è una responsabilità che ci dobbiamo assumere tutti. Non dobbiamo cadere nella trappola per cui interagire con il mondo rappresenta un pericolo, dobbiamo invece convincerci che una sana regola di condotta per l’utilizzo del computer tutela noi il nostro pc e tutte le relazioni che tramite esso instauriamo siano esse di lavoro o di svago. Ma soprattutto, siamo stati veramente attaccati da hacker che volevano i nostri dati?

Sommario Articoli di particolare interesse La paura nell’era digitale

2

La Password

3

Curiosità e divertimento non sono sinonimi di sicurezza La sicurezza costa

4 5

Dati o informazioni

6

Netiquette nei Social Network 7 I comandi principali

8

Impostazione sulla Privacy

9

Approvazione accessi

10

Notizie singole

Di sicuro non dobbiamo avere paura, ma altrettanto sicuramente dobbiamo aumentare il rispetto per la nostra privacy. Si tenga sempre ben presente che sui S. N. possiamo essere il più restrittivi possibili ma poi, come spesso accade basta che un nostro amico non abbia la stessa privacy o ci menzioni per essere nuovamente visibili.

1

Org. Della sicurezza

2

Strumenti per la difesa in rete

3

Le policy aziendali

4

Definizioni

5

Aspetti della sicurezza

6

I Social Network

7

Facebook

8

Esempio di danno

9

Come tutelare la Privacy su FB

10

2

2

La paura nell’era digitale? Perdere i propri dati perché ci si è dimenticati Questa casistica è molto comune ma di fare un backup. rappresenta una non corretta applicazione delle regole e non per forza una violazione dei Non accedere a un servizio perché non si è propri dati e quindi della propria privacy. dimenticata la password. Occorre sapere che tutto ciò si può e si deve Vedere il proprio account su un social network prevenire, e lo si può fare con un minimo di violato. attenzione e attraverso semplici passaggi. Trovarsi con il PC inutilizzabile a causa di un virus.

La sicurezza informatica non è qualcosa di astratto, ma un insieme di pratiche quotidiane che ci semplificano la vita se rispettate, mentre la complicano e non poco se abbandonate.

Organizzazione sicurezza Organizzazione

della

della

sicurezza

attraverso le politiche di cui ci si dota e che sono 1.

Politica

di

sicurezza

aziendale o privata 2.

Politica di sicurezza del sistema informatico

3.

Politica

di

sicurezza

tecnica Sviluppa

un

piano

di

policy

compilando gli item qui riportati 1.

Scopo della Policy

2.

Policy

3.

Applicazione

4.

Revisione

3

La prudenza non è mai troppa. Evitate di rispondere a e-mail che richiedono informazioni private e/o aziendali di natura strettamente confidenziale, inclusi dati dei dipendenti, numeri di carte di credito o credenziali di accesso ai sistemi remoti. Soprattutto se siete all’interno di una struttura aziendale riferite di questi tentativi al reparto IT. Potremmo dire “Non rilasciate mai notizie riservate se non tramite i canali ufficiali e comunicati precedentemente” L’unico modo per essere al sicuro con il vostro pc è non connettersi in rete. Ma questo sarebbe una limitazione della libertà personale, equivarrebbe oggi a tornare molti anni addietro per cui: evitate di utilizzare un computer sprovvisto di protezione. Verificate che sul computer che state utilizzando siano state applicate le più recenti patch di sicurezza, e che antivirus e firewall siano attivi. La sicurezza va protetta anche da occhi indiscreti, per cui è buona norma quando non utilizzati di provvedere a bloccare (attraverso la modalità blocco) i computer come i cellulari o le agendine elettroniche e si ci pensate bene potremmo continuare. Quindi la regola molto semplice e assolutamente non tecnologica per cui “Bloccate sempre i computer e tutti gli strumenti elettronici”

3

Strumenti per la difesa in rete:

La password Lavorare file che poi per comodità provvederete a spedirvi via mail o a copiarlo su una memoria esterna sono azioni molto frequenti ma soprattutto, molte volte sono anche file con informazioni di natura sensibile questi vanno sempre almeno protetti da password. Questa regola ha un suo valore specifico anche rispetto al pc (può infatti accadere di perdere il portatile) per cui le password proteggono non solo sui file ma anche l’ingresso dei dispositivi. Quindi la regola è molto semplice “Proteggete con password i file e i dispositivi”. Evitare di utilizzare password ovvie come “password,” “data di nascita”, “Nome della moglie” oppure sequenze di caratteri deducibili su una tastiera QWERTY, come “asdfg” e “12345”. Lavorate con password complesse che quindi includono lettere maiuscole e minuscole, numeri e persino punteggiatura. Cercare di adoperare password diverse per i vari siti Web e computer. In questo modo, se uno di essi viene violato, gli altri account saranno al sicuro.

4

•

Gestione delle password

•

Antivirus

•

Firewall

•

Antispyware

•

Crittografia

•

IDS

Password deboli 

Sono tutte quelle password deducibili da chiunque solo per il fatto di conoscervi anche superficialmente

Password forti 

Sono tutte quelle password che

prevedono

una

combinazione di tasti tale per

cui

il

combinazioni all’infinito

numero

di

tende

4

Curiosità e divertimento non sono sinonimi di sicurezza E’ forse la curiosità uno dei virus più diffusi e che fa più danni sui computer e sulle reti per cui è buona regola non farsi prendere dalla curiosità, soprattutto quando arrivano mail accattivanti che promettono facili guadagni o che sembrano arrivare da link conosciuti ed attendibili in questi casi eliminate sempre e-mail e link sospetti. Anche solamente aprirli o visualizzarli può compromettere il computer e creare a vostra insaputa problemi indesiderati. Ricordare che se qualcosa sembra troppo bello per essere vero, probabilmente lo è. Le applicazioni malevoli si spacciano spesso per programmi legittimi come giochi, strumenti, o persino software antivirus.

Non abboccare

Cercano di indurvi a infettare in maniera non intenzionale il computer o la rete. Se desiderate utilizzare una determinata applicazione e ritenete che possa essere utile, contattate il reparto IT, che effettuerà un'indagine prima dell'installazione.

Per scrivere correttamente le policy aziendali o private della vostra sicurezza è necessario conoscere quali sono i ben da proteggere. Come ad esempio :  Hardware – intesi come sistema e reti  Firmware  Software  Dati e informazioni  Documentazione  Immagine e reputazione aziendale

5

5

Definizioni:

La sicurezza costa La questione della sicurezza informatica non è solo un problema di tipo tecnico ma anche di business: La persona, sia essa azienda, ente o libero professionista, deve essere capace di stimare il costo complessivo delle misure di sicurezza ritenute idonee ed il costo della non sicurezza.

Firewall è il sw o l’Hw che filtra le connessioni a Internet, sia entrata sia in uscita, e le blocca nel caso siano ritenute

Per parlare correttamente di sicurezza è corretto parlare di  Sicurezza fisica  Sicurezza logica;

pericolose, sono dispositivi software e/o hardware posti a protezione dei punti di interconnessione

Fino a non molto tempo fa si poteva osservare come la sicurezza fisica e logica fossero funzioni separate, gestite da figure diverse, dove ognuno definiva un proprio piano di Risk Management ed un modello di Governance. Oggi questo aspetto è cambiato e le sicurezze sono viste e studiate nella loro interezza e nella loro interrelazione. Per questo motivo oggi parliamo di “convergence” La sicurezza informatica è uno strumento per la tutela del patrimonio informatico della società e deve essere approcciata non come risolutrice dopo una violazione subita ma entrare come parte integrante nell’organizzazione e gestione aziendale. "La sicurezza non è un prodotto, è un processo". Inoltre non è solo un problema di tecnologia, bensì di persone e gestione”

eventualmente esistenti tra una rete privata (ad es. una Intranet) ed una rete pubblica (es. Internet) oppure tra due reti differenti.

Antivirus è un software atto a prevenire, rilevare ed eventualmente eliminare programmi dannosi

Spyware è un tipo di sw che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata, vengono installati con il consenso

6

6

Aspetti della sicurezza 1. Confidenzialità: garantisce che l’informazione ed è accessibile solamente a coloro che hanno l’autorizzazione ad accedervi; 2. Integrità: garantisce l’accuratezza e la completezza dell’informazione e dei metodi di elaborazione; 3. Disponibilità: garantisce che gli utenti autorizzati possano accedere all’informazione quando vi è necessità.

La tematica della sicurezza informatica sta diventando sempre più seria con il progredire dei servizi su internet, dall’home banking alle transazioni telematiche, dai blog ai social network. Con il computer di svolgono molte operazioni e questo fa si che un’enorme massa di dati, anche sensibili, transiti in pochi secondi su internet. La sicurezza viene messa a rischio non solo quando i dati si diffondono in rete ma, altresì, quando sono ancora al suo interno

7

Dati o Informazioni. Occorre capire ed essere convinti che con il termine sicurezza informatica non si proteggono i dati ma si mettono in sicurezza le informazioni. Un dato da solo potrebbe non essere sufficiente per permettere di violare la nostra privacy, di contro invece l’informazione (che è composta da più dati coerentemente costruiti ed assemblati) permettono di violare la nostra sicurezza. La sicurezza delle info si caratterizza dei seguenti aspetti: 1. Confidenzialità: garantisce che l’informazione ed è accessibile solamente a coloro che hanno l’autorizzazione ad accedervi; 2. Integrità: garantisce l’accuratezza e la completezza dell’informazione e dei metodi di elaborazione; 3. Disponibilità: garantisce che gli utenti autorizzati possano accedere all’informazione quando vi è necessità. Definiamo la sicurezza come la capacità di salvaguardare riservatezza, integrità e disponibilità dell'informazione  



salvaguardare la riservatezza; ridurre a livelli accettabili il rischio che si possa accedere ai dati senza esserne autorizzati salvaguardare l'integrità; Ridurre il rischio che i dati possano essere manomessi a seguito di interventi non autorizzate e prevedere adeguate procedure di recupero delle informazioni salvaguardare la disponibilità; Ridurre il rischio che possa essere impedito a chi autorizzato l'accesso alle informazioni a seguito di interventi non autorizzati o fenomeni non controllabili

8

7

La privacy nei Social Network La privacy nei social media è il diritto “tutelato e garantito” in capo all’utente, che utilizzi tali applicazioni internet, di controllare che le informazioni che lo riguardano vengano trattate nel rispetto delle norme che le regolano ed in particolare, nel rispetto dell’autodeterminazione del singolo alla loro diffusione e, contestualmente, nel controllo delle notizie che lo riguardano. Il Codice della privacy riconosce a “chiunque il diritto alla protezione dei dati personali”. Per garantire tale diritto è prevista una serie di strumenti:  la correttezza del trattamento dei dati;  la possibilità di intervento dell'interessato. Chi utilizza dati personali deve rilasciare una informativa per illustrare le finalità e le modalità del trattamento dei dati, allo stesso tempo chi conferisce i dati può verificare la correttezza del trattamento ed, se vuole, revocare il proprio consenso al trattamento. In questa regola si incontrano non pochi problemi, in quanto la rete internet pone serie difficoltà nell’attuazione di forme di controllo. Facebook, ma in generale tutti i Social Network, deve il suo successo alla semplicità di utilizzo che, insieme alla gratuità del servizio, sono stati in grado di coinvolgere un numero di persone, talmente alto per cui ad oggi rappresenta senza ombra di dubbio il primo database mondiale per il reperimento di dati necessari per il furto d’identità nei casi più comuni, ma purtroppo sta prendendo piede anche per attività pedo pornografiche per la gestione di truffe commerciali e potremmo continuare con un elenco ancora moto lungo.

9

I social network Nella nuova era dei social network solo il 16% degli utenti controlla per proprie impostazione sulla privacy e il 24% degli utenti si è pentito almeno una volta a posteriori di avere postato online alcune informazioni. Tutelare la privacy online è estremamente complesso e occorre intervenire prima che le persone pronuncino la fatidica frase: ‘Vorrei tanto non averlo fatto!’”.

8

I comandi principali

Facebook Facebook per diffusione è l’esempio più rappresentativo di cosa può succedere a fronte di una cattiva o errata gestione della privacy. L’utilizzo di questo strumento di comunicazione presenta, tuttavia molti rischi per la riservatezza dell’utente:  nel momento in cui ci si iscrive a Facebook, automaticamente e senza il previo consenso dell’utente, il nome di quest’ultimo viene indicizzato sui motori di ricerca estranei al network così che i suoi dati e la sua immagine sono esposti e visibili a qualsiasi soggetto terzo (anche non iscritto alla community); quanto al diritto alla cancellazione, l’utente non è messo nelle condizioni di poter facilmente recedere dal servizio in quanto sulla pagina principale non è riportata alcuna indicazione in merito ma solo accedendo all’interno dell’area “impostazioni” è possibile cancellare l’account. Inoltre, tutte le informazioni, le immagini e i dati personali non vengono immediatamente rimossi ma restano sul server per un periodo di tempo indeterminato (per un eventuale riaccesso al network da parte dell’utente “pentito”), contrariamente a quanto richiesto dall’utente. Il Codice della privacy viene facilmente raggirato dai vari sistemi per mezzo dei quali, all’interno della rete, è possibile effettuare vendite, passaggi, scambi di dati in totale libertà e senza che si riesca a porre un’efficace freno legislativo al costante espandersi di un vero e proprio commercio illegale dei dati on line. La miglior difesa per la tutela della privacy consiste, nell’utilizzare il buon senso e nell’utilizzare piccoli accorgimenti:  adottare password imprevedibili e con codici alfanumerici, cambiarle frequentemente e diversificandole a seconda dei siti;  evitare di comunicare la propria password e conservarla in un luogo sicuro;  Non postare foto dalle quali è possibile desumere modalità di acquisto e gusti personali, innescano una guerra di marketing che non possiamo nemmeno immaginare  Non postare se non con limitazioni specifiche foto di persone, case, viaggi, scuole, …..  Utilizzare le impostazioni di privacy previste non lasciare mai le impostazioni di base

10

Esempio di danno Adescare bambini per strada non è molto sicuro, quindi li si cerca online. Facebook è pieno di account di bambini, troppi hanno il profilo pubblico e tutti i genitori aiutano visto che postano molte più foto e notizie dei figli stessi. Pensate al primo giorno di scuola, su Facebook è la “gara dei genitori per mostrare i figli e non il rimo giorno di scuola”. In una delle foto è indicato il nome della scuola e classe del bambino. Vado su google, cerco l’indirizzo, so dove il bimbo va a scuola,. Ma ho anche riconosciuto la via dove abita. So dove va a calcio (tra le foto pubbliche ce n’è una dell’attestato della scuola calcio). So i nomi di papà, mamma, degli zii delle maestre. So che abita a un piano terra, e con un po’ di fatica posso sapere in quale palestra va la mamma, gli orari di lavoro del papà, e così via. E cosa potrebbe succedere se quando digitate una password sul computer la salvate? Beh in quel caso anche un bambino può bucare la vostra sicurezza, provate ad eseguire questo semplice comando sulla barra di ricerca di google chrome://settings/passwords

11

10

Come tutelare la privacy su Facebook Controllare attentamente le informazioni personali che sono visibili nel tuo profilo e nascondere quelle che ritieni più importanti dagli occhi dei non amici. Per fare ciò basta cliccare sul pulsante Aggiorna informazioni che si trova alla destra dell’immagine di copertina. Qui trovate tutte le informazioni personali che sono incluse nei profilo: i dati su lavoro e istruzione, la città in cui si risiede, la data di nascita ed altri Per modificare il livello di visibilità delle varie informazioni, clicca sul pulsante Modifica Si può scegliere se far visualizzare i dati solo agli amici, solo a te o a tutti (Pubblico). Dalla stessa pagina si può anche nascondere la lista dei tuoi amici, basta cliccare sull’icona della matita, selezionare la voce Modifica privacy dal menu che compare e impostare su Amici o Solo io il livello di visibilità della lista degli amici Occorre poi vietare che le altre persone possano trovarvi nelle ricerche online o possano pubblicare post e foto in cui vi taggano direttamente. Per rimuovere il nome dai risultati delle ricerche, collegarsi alle impostazioni del profilo in alto a destra e selezionare la voce Impostazioni account dal menu che compare, dopodiché clicca sulla voce Privacy presente nella barra laterale di sinistra e modifica i due valori presenti nel riquadro Chi può cercarmi?. Togliendo il segno di spunta dalla voce Consenti agli altri motori di ricerca di rimandare al tuo diario. Per non essere taggato a vostra insaputa occorre selezionare la voce Diario e aggiunta di tag dalla barra laterale di sinistra e impostare l’opzione Vuoi controllare i post in cui ti taggano gli amici prima che vengano visualizzati sul tuo diario? Su Sì e Chi può scrivere sul tuo diario? Su Solo io. Solo così avrete vietato la pubblicazione di qualsiasi post da parte di terzi sulla pagina del vostro profilo.

12

Approvazione accessi