Come contribuire alla gestione sicura delle tecnologie dell informazione e della comunicazione

Transcript

1 Marzo 2011 intranet.sicurezza-informatica.admin.ch Sicurezza TIC nell Amministrazione federale Come contribuire alla gestione sicura delle tecnologie dell informazione e della comunicazione

2 Marzo 2011 intranet.sicurezza-informatica.admin.ch Editore Organo strategia informatica della Confederazione OSIC Friedheimweg Berna intranet.sicurezza-informatica.admin.ch Layout secondo l identità visiva «CD Confederazione nel DFF» Bruno Fauser, Berna Organo strategia informatica della Confederazione Edizione Berna, marzo 2011 Altri esemplari UFCL Vendita pubblicazioni della Confederazione CH-3003 Berna verkauf.zivil@bbl.admin.ch Art-Nr i Cette publication existe également en français Diese Broschüre ist auch in Deutsch erhältlich

3 Gentile lettore, tutti noi utilizziamo ogni giorno ripetutamente il PC e altri strumenti delle tecnologie dell informazione e della comunicazione (TIC). Senza di essi non saremmo quasi più in grado di svolgere il nostro lavoro: l Amministrazione federale è pur sempre innanzitutto un organismo per la gestione delle informazioni. Quale datore di lavoro moderno e innovativo, l Amministrazione federale fornisce con le tecnologie dell informazione e della comunicazione un sostegno ottimale alla sua attività. Nel far ciò, applica il principio delle esigenze di servizio e dell impiego economico, in altre parole, viene acquisito ciò che è realmente necessario e non quello che vorremmo avere. L esteso impiego delle TIC comporta tuttavia pericoli e insidie che dobbiamo essere in grado di gestire in maniera corretta. All interno dell Amministrazione federale le misure di sicurezza tecniche sono implementate dal rispettivo fornitore di prestazioni TIC; tra tali misure rientra l impiego di firewall e programmi antivirus, gli aggiornamenti regolari dei software e il backup dei dati su server. Ma non è tutto. Altrettanto importante è la gestione sicura delle TIC da parte degli utenti. Molti rischi per la sicurezza sono notevolmente influenzati del comportamento dei collaboratori. La responsabilità è di tutti - anche Sua! Potrebbe essere vittima di un attacco mirato e, anche se inconsapevolmente, causare danni con il Suo comportamento. La presente pubblicazione riporta le misure di sicurezza minime più importanti che deve applicare in quanto utente delle risorse informatiche dell Amministrazione federale. In tal modo protegge non solo se stesso e il Suo lavoro, ma anche la sicurezza delle informazioni e delle applicazioni nell Amministrazione federale nel suo insieme. Il Suo Ufficio avrà inoltre definito ulteriori misure di sicurezza in base alle esigenze di protezione specifiche. In caso di dubbi si informi in Intranet, presso il Suo superiore o l incaricato della sicurezza informatica per il Suo dipartimento o la Sua unità organizzativa. La ringraziamo per l attiva collaborazione nell applicazione delle misure. Cordiali saluti Peter Fischer delegato per la strategia informatica della Confederazione 3

4 4

5 Indice 1 Sicurezza TIC: protezione di valori 2 Accessi e autorizzazioni 3 Social engineering 4 Social network (Facebook, Twitter, Xing, ) 5 Salvataggio e archiviazione dati 6 Supporti dati esterni 7 Gestione della posta elettronica 8 Internet 9 Accesso mobile 10 Viaggi all estero 11 Hardware e software 12 Eliminazione di dati 13 Informazioni complementari

6 6

7 1 Sicurezza TIC: protezione di valori L obiettivo della sicurezza delle tecnologie dell informazione e della comunicazione è proteggere degli elementi di valore («valori») 1 in modo da renderli disponibili per gli aventi diritto, al momento e al posto giusto, nelle qualità e quantità richieste. Al riguardo si parla di: 2 confidenzialità = i valori sono protetti e accessibili solo alle persone autorizzate; disponibilità = i valori sono disponibili per l adempimento dei compiti; integrità = i valori sono completi, non falsificati e corretti; l origine è documentata; tracciabilità = invio, ricezione o elaborazione sono attestati. Il Suo comportamento riveste un ruolo fondamentale nella protezione dei valori. Ognuno di noi, collaboratore, superiore, utente o amministratore di sistema, è responsabile in prima persona del proprio ambiente operativo. Informi pertanto il superiore o l incaricato della sicurezza informatica anche in caso di lacune di sicurezza riscontrate nell attività quotidiana. Le misure di sicurezza descritte a seguire si basano sulle direttive di sicurezza TIC attualmente in vigore per l Amministrazione federale. Se svolge una funzione particolare (p. es. direttore di progetto) o dispone di autorizzazioni avanzate (p. es. amministratore di sistema) si informi presso i superiori e i servizi specializzati sulle ulteriori disposizioni in materia di sicurezza. Approfitti dell offerta di corsi informatici dell Ufficio federale dell informatica e della telecomunicazione (UFIT) 3. Si protegga anche in privato: le misure consigliate possono essere applicate anche a casa. 1 Con valori si intendono informazioni, processi, materiali, strumenti, ecc. 2 Ordinanza del 26 settembre 2003 concernente l informatica e la telecomunicazione nell Amministrazione federale (Ordinanza sull informatica nell Amministrazione federale, OIAF), RS intranet.bit.admin.ch 7

8 2 Accessi e autorizzazioni Una password sicura è costituita da lettere minuscole e maiuscole, numeri, caratteri speciali ed è lunga almeno 8 caratteri. Ecco un suggerimento per ricordare password sicure: formi una frase e si ricordi la prima lettera di ogni parola. Esempi: Csn11adniI? = Chissà se nel 2011 andrò di nuovo in Italia? LIèsx4vCdm! = L Italia è stata per 4 volte Campione del mondo! Nngoaf>20g! = Nel nostro giardino ogni anno fioriscono più di 20 girasoli! Per accedere ai mezzi TIC ognuno dispone di un nome utente (UserID), di una password (parola chiave) 4 e/o di una smartcard con PIN 5 /password (come per una carta bancomat). Questi dati di accesso, inclusa la smartcard, sono personali. Non dia la smartcard, la password o il PIN ad altre persone. Cambiate la password Se sospetta che qualcuno possa averla osservata mentre digitava il PIN o la password li cambi immediatamente. Cambi la password anche dopo aver usufruito dei servizi di supporto, se ha inserito la password in un apparecchio terzo (p. es. in un Internet caffè) o in seguito alla perdita di un dispositivo. Le password a rischio riguardano ad esempio dati riguardanti la sfera personale (nomi, date di nascita, automobili, ecc.) o possono essere trovate in un dizionario (p. es.: Berna2010, Marco041283, 20Rose). Protegga anche i dispositivi TIC mobili (telefoni cellulari, smartphone, notebook) con una password o un PIN. Rilasciate le corrette autorizzazioni Chieda al Suo superiore le autorizzazioni necessarie per lo scambio mirato, per esempio, di dati Outlook (calendario). Blocchi il computer quando lascia la postazione di lavoro (Ctrl+Alt+Delete, tasto Windows+L oppure rimuovere la Smartcard) e, se possibile chiuda a chiave la porta dell ufficio. 4 Istruzioni del CIC del 27 settembre 2004 sulla sicurezza informatica nell Amministrazione federale 5 Personal Identification Number (numero d identificazione personale) 8

9 3 Social engineering Il social engineering è un metodo per accedere illegalmente a informazioni o sistemi IT carpendo informazioni alla vittima. Con le informazioni ottenute si assume una falsa identità per accedere a reti aziendali o eseguire operazioni bancarie a nome della vittima. Prudenza con le informazioni personali Cerchi quindi di non rendere note troppe informazioni personali in rete, per , durante telefonate o conversazioni. Informi immediatamente il Suo superiore e l incaricato della sicurezza nel caso di episodi sospetti. Non date troppa fiducia Se qualcuno La chiama per informarsi sul suo lavoro, chieda di rivolgersi al servizio della comunicazione. Non si lasci porre troppe domande riguardanti il posto e l ambiente di lavoro I professionisti di questa tecnica ottengono informazioni utili anche a partire da indicazioni generiche e apparentemente innocue per poi utilizzarle contro di Lei. Non si lasci intimorire o minacciare Sia particolarmente accorto quando le viene chiesto il Suo aiuto. Queste persone sono addestrate a renderla insicuro al fine di carpirle informazioni. 9

10 4 Social network (Facebook, Twitter, Xing, ) La maggior parte degli attacchi a persone o imprese avviene tramite i dati pubblicati sui social network. Prudenza con le informazioni professionali Pubblichi sui social network la minor quantità di informazioni possibile sulla Sua situazione lavorativa. Non indichi l indirizzo professionale come indirizzo di contatto. Prudenza con i dati personali Siate restii nel pubblicare sui social network informazioni personali. Non pubblichi foto che potrebbero essere usate contro di Lei. Per gli attacchi di social engineering vengono spesso utilizzati dati ottenuti sui social network. Ci pensi: Internet non dimentica nulla! Una volta in rete, i dati pubblicati possono essere rimossi da un sito, ma nel frattempo sono già stati diffusi e salvati in modo incontrollato. 10

11 5 Salvataggio e archiviazione dati Un sistema di archiviazione dati strutturato consente l elaborazione comune delle informazioni, purché tutti i partecipanti si attengano alle regole di archiviazione. Si informi pertanto sulle disposizioni vigenti nel Suo Ufficio e per il Suo ambiente operativo. Un aspetto importante dell archiviazione dati è il rispetto delle disposizioni dell ordinanza sulla protezione delle informazioni 6 e della legislazione sulla protezione dei dati 7. In linea generale valgono i seguenti criteri: Nessuna classificazione: pubblicazione in Intranet/Internet consentita, invio per autorizzato, archiviazione non cifrata. Le informazioni salvate sui server dei fornitori di servizi TIC, nei sistemi di gestione dell attività o in applicazioni specifiche vengono sistematicamente protette. Ogni utente è invece responsabile in prima persona della salvaguardia dei dati su supporti dati locali o esterni. Prima di assentarsi o di cambiare lavoro chiarisca tempestivamente con il Suo superiore a chi e in che modo deve trasmettere le diverse tipologie di informazione. Non salvi informazioni private sui supporti dati di servizio. Livello di classificazione AD USO INTERNO e/o dati personali: pubblicazione in Internet non consentita; pubblicazione in Intranet permessa solo nell ambito di un «Closed User Group»; invio per autorizzato, archiviazione non cifrata. Livello di classificazione CONFIDENZIALE e/o dati personali/profili della personalità degni di particolare protezione: pubblicazione in Intranet/Internet non consentita, invio per autorizzato solo in forma cifrata, archiviazione cifrata e/o su supporto dati esterno (da tenere sotto chiave quando non in uso). Livello di classificazione SEGRETO: pubblicazione in Intranet/ Internet non consentita, invio per non autorizzato, elaborazione e salvataggio solo conformemente alle disposizioni dell ordinanza sulla protezione delle informazioni. 6 Ordinanza del 4 luglio 2007 sulla protezione delle informazioni della Confederazione (ordinanza sulla protezione delle informazioni, OPrI), RS Legge federale del 19 giugno 1992 sulla protezione dei dati (LPD), RS e ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD), RS

12 6 Supporti dati esterni I dati su supporti esterni come chiavette USB, CD, DVD, dischi fissi esterni o dispositivi mobili sono esposti a rischi particolari. Questi dati sono mal protetti contro furti, perdita e distruzione. Per essere sicuri vanno adottate le seguenti misure: Proteggetevi contro l accesso non autorizzato Ove possibile inserire sempre una protezione contro l accesso non autorizzato. Conservate in modo sicuro Conservare i supporti dati esterni in un luogo protetto contro il furto e non accessibile a terzi. Non prestare i supporti dati esterni. Siate prudenti con le chiavette USB trovate Non utilizzare mai le chiavette USB trovate per caso o di origine sconosciuta. Formattare le chiavette USB ricevute in regalo prima del primo utilizzo (all inserimento tenere premuto il tasto Shift 8 e avviare la formattazione con il tasto destro del mouse). Impiegate con prudenza i dispositivi personali Utilizzare le chiavette USB e i dischi fissi esterni privati solo con apparecchi conosciuti e fidati. Ogni utente è responsabile in prima persona della salvaguardia dei dati. Cifrate i dati Cifrare le informazioni classificate come CON- FIDENZIALI o SEGRETI e i dati personali/i profili della personalità degni di particolare protezione anche sui supporti dati esterni. Se nonostante ciò è vittima di un furto o perde dei dati, informi immediatamente il Suo superiore e l incaricato della sicurezza informatica. 8 In tal modo si disattiva l esecuzione automatica 12

13 7 Gestione della posta elettronica L è uno strumento pratico per il rapido scambio di informazioni, tuttavia è anche uno dei mezzi attraverso tramite il quale virus e codici maligni (malware) entrano nel sistema. L Amministrazione federale riceve ogni giorno milioni di indesiderate. Normalmente vengono bloccate dai sistemi di protezione dei fornitori di prestazioni TIC e riconosciuti ed eliminati dall antivirus installato sul sistema. L invio di è paragonabile a quello di cartoline postali Le informazioni trasmesse possono essere raccolte e valutate senza troppe difficoltà. Tutte le restano inoltre in circolazione per anni: sul Suo apparecchio, su quello destinatario e/o presso il fornitore di servizi di trasmissione. private Eviti di salvare private nei sistemi dell Amministrazione e riordini regolarmente la Sua casella di posta elettronica. Archiviazione di Chieda al Suo superiore in che tipo di sistema debbano essere salvate le diverse tipologie di per la gestione delle pratiche e l archiviazione. Tenga presenti le seguenti misure di sicurezza: Indirizzo professionale Comunicare il proprio indirizzo soltanto in casi specifici. Non utilizzare l indirizzo professionale per scopi privati (concorsi, ordinazioni, newsletter, social network). sospette Cancellare immediatamente le sospette 9 (senza aprirle) e in modo definitivo (Shift+Delete). Attenzione ai link contenuti nelle Le vengono usate sempre più spesso per attirare gli utenti su siti web che celano malware. Pertanto, verificare che i collegamenti ipertestuali nelle siano corretti (posizionare il cursore sul link e confrontare l indirizzo, senza attivarlo!). Nessuna password nelle Non rendere mai note informazioni riguardanti i diritti d accesso (password). Protezione dei dati classificati Rispettare le disposizioni riguardanti l invio di informazioni degne di protezione. Utilizzare il sistema «Secure Messaging» per proteggere le da accessi non autorizzati durante la trasmissione. Anche dopo aver utilizzato la funzione «Richiama il messaggio», può capitare che le informazioni restino presso il destinatario. Le opzioni di riservatezza di Outlook «personale» e «privato» non cifrano il contenuto delle . E non dimentichi: dopo aver cliccato su «Invia» l viene spedita per Suo conto e con il Suo nome. 9 con mittente sconosciuto e oggetto strano 13

14 8 Internet Sia prudente. Internet viene utilizzato anche per diffondere malware Presti attenzione agli avvisi (di sicurezza) e in caso di dubbi lasci immediatamente il sito web in questione. Per motivi di sicurezza non è possibile scaricare (download) determinati file; spesso, infatti, un offerta apparentemente seria può celare dei codici maligni. Prudenza con le informazioni degne di protezione Se si utilizzano servizi Internet come, ad esempio, Doodle, è meglio non rendere note informazioni degne di protezione e preferire altre formulazioni. La postazione di lavoro è connessa a Internet dal fornitore di prestazioni TIC. Ciò significa che molti parametri di sicurezza sono definiti a livello centralizzato e Le viene offerta una connessione sicura. Parametri di sicurezza del browser Faccia attenzione a non modificare e di conseguenza indebolire i parametri di sicurezza del browser Internet. La Sua attività in Internet è registrata Per garantire la sicurezza dei sistemi, queste registrazioni sono regolarmente esaminate in forma anonima. Se da tale valutazione risultano usi impropri, vengono definite delle misure correttive nel quadro delle disposizioni sulla protezione dei dati. Le violazioni delle disposizioni del Codice penale possono determinare l applicazione di misure penali e disciplinari. Nella maggior parte delle unità amministrative l uso di Internet sul posto di lavoro a scopi privati è consentito, seppur entro certi limiti. Si raccomanda di sfruttare a tal fine gli orari marginali e le pause. Si informi presso il Suo superiore sulle regole vigenti nella Sua unità. Siti web bloccati Per motivi di sicurezza e disponibilità l accesso ad alcuni siti web è bloccato. 14

15 9 Accesso mobile Oggigiorno è tecnicamente possibile accedere a dati aziendali lavorando lontani dalla propria postazione di lavoro. Le dimensioni degli apparecchi e la disponibilità praticamente illimitata di reti di trasmissione favoriscono il telelavoro in situazioni di mobilità. Ai vantaggi si affiancano però anche diversi rischi dal punto di vista della sicurezza: i dati possono essere intercettati durante la trasmissione o letti sullo schermo, gli aggiornamenti non possono essere installati immediatamente sugli apparecchi e in viaggio i dispositivi sono maggiormente esposti al rischio di perdite o furti. Con pochi accorgimenti e attenendosi alle seguenti misure di sicurezza è possibile lavorare in sicurezza anche quando si è fuori sede: Aggiornate software e antivirus Tenere aggiornato i software (anche l antivirus) sul proprio apparecchio collegandolo regolarmente alla rete della Confederazione. Eliminate le connessioni inutili Interrompere la connessione (con o senza cavo) quando non è necessaria (in tal modo si risparmia anche sui costi di collegamento). Evitate di utilizzare apparecchi impersonali Per accedere a dati o elaborare informazioni di servizio (p. es. PC in hotel o in Internet café). Nessun dato classificato su apparecchi privati Lavorare con informazioni classificate e/o dati personali/profili della personalità particolarmente degni di protezione esclusivamente sul proprio apparecchio di servizio e in ambienti protetti. Tenete sempre con voi i dispositivi mobili. Aggiornate il vostro apparecchio assicurare la sincronizzazione regolare dei dati con la rete dell Amministrazione federale. Non disattivate nessuna impostazione di sicurezza (ad es. password/pin). Se non sono utilizzati, tenete sotto chiave i dispositivi mobili. Nascondere i dispositivi se lasciati in auto. Sistemate l apparecchio in modo che nessuno possa leggerne lo schermo e durante le conversazioni fate attenzione a possibili «ascoltatori indesiderati». Annunciate la perdita o un eventuale strano funzionamento del vostro telefono mobile al competente incaricato della sicurezza e al vostro superiore. 15

16 10 Viaggi all estero Portate con voi all estero solo i dispositivi e le informazioni realmente necessarie Il trasporto di informazioni classificate sottostà all ordinanza sulla protezione delle informazioni. Per ulteriori informazioni si rivolga al Suo superiore o all incaricato della sicurezza della Sua unità. Cifrate tutte le informazioni (tenendo presente la pertinente legislazione locali sulla crittografia). Nessun dato degno di protezione su dischi fissi In alcuni Paesi le autorità di confine possono esaminare i dischi fissi o addirittura confiscarli. In occasione di viaggi in tali Paesi si raccomanda di non portare dati (in particolare dati degni di protezione) sul disco fisso. Trasportate i dispositivi e i supporti dati sempre nel bagaglio a mano. Elevate spese di collegamento Fate attenzione alle spese di collegamento, possono essere molto alte. 16

17 11 Hardware e software All entrata in servizio e durante la Sua attività presso l Amministrazione federale le saranno messi a disposizione gli strumenti di lavoro TIC necessari per l adempimento dei Suoi compiti. Si tratta di hardware e software testati la cui compatibilità è garantita. Inoltre, sono implementate le rispettive misure di sicurezza. Non modificate i parametri tecnici Si raccomanda di non modificare i parametri tecnici, impostati dal fornitore di prestazioni TIC. Affinché gli apparecchi funzionino in modo affidabile e sicuro devono essere regolarmente riavviati, altrimenti gli aggiornamenti non vengono completati. Comunichi immediatamente la perdita di un dispositivo al Suo superiore o all incaricato della sicurezza informatica. Modifichi immediatamente la password d accesso alla rete della Confederazione. Si rivolga al Suo superiore se ha bisogno di strumenti supplementari per adempiere i Suoi compiti lavorativi. Non utilizzare sul posto di lavoro strumenti TIC o programmi privati, che potrebbero compromettere seriamente l attività sicura dell informatica nell Amministrazione federale. 17

18 12 Eliminazione di dati Quando non ha più bisogno di dati, è bene accertarsi che vengano distrutti correttamente e in modo definitivo 10. Sono fatte salve specifiche condizioni riguardanti la gestione delle pratiche e l archiviazione. Le informazioni classificate su carta devono essere distrutte nel distruggidocumenti L incaricato della protezione delle informazioni saprà dare ulteriori informazioni al riguardo. Smaltite correttamente i supporti dati esterni (inclusi PDA e telefoni cellulari) vanno smaltiti correttamente. Si assicuri che le informazioni su essi salvate siano state eliminate definitivamente. Si raccomanda di fare un wipe dei supporti dati esterni prima di consegnarli per lo smaltimento. Per eliminare i dati su PDA e cellulari, va eseguito un reset con l apposita funzione e formattata la scheda di memoria. Eliminate definitivamente i dati Se eliminati con il tasto «Delete» o la funzione «Elimina», i dati elettronici restano tuttavia ancora leggibili (vengono eliminate solo le informazioni relative alla cartella in cui erano conservati). Per eliminare definitivamente le informazioni, il punto in cui erano salvate deve essere sovrascritto più volte. Sono disponibili appositi programmi per eseguire quest operazione («fare un wipe»). Per ulteriori dettagli si rivolga all incaricato della sicurezza responsabile per la Sua unità. 10 Istruzioni del CIC del 27 settembre 2004 sulla sicurezza informatica nell Amministrazione federale 18

19 13 Informazioni complementari Per ulteriori informazioni sulla sicurezza informatica consultare le seguenti pagine Intranet e Internet: Sicurezza informatica dell Amministrazione federale Organo strategia informatica della Confederazione OSIC Centrale d annuncio e d analisi per la sicurezza dell informazione MELANI Servizio nazionale di coordinazione per la lotta contro la criminalità su Internet (SCOCI) Ufficio federale delle costruzioni e della logistica UFCL Protezione delle informazioni Protezione dei dati intranet.sicurezza-informatica.admin.ch www. sicurezza-informatica.admin.ch intranet.isb.admin.ch intranet.bit.admin.ch intranet.ios.admin.ch intranet.edoeb.admin.ch/intranet Per proteggersi a casa: Suggerimenti e informazioni Swiss Security Day (Giornata nazionale della sicurezza informatica) / Sensibilizzazione della popolazione ebanking sicuro Basi legali (intranet.bk.admin.ch > Raccolta sistematica del diritto federale) Ordinanza sull informatica nell Amministrazione federale Sicurezza informatica Protezione delle informazioni della Confederazione Protezione dei dati Ordinanza del 26 settembre 2003 concernente l infor-matica e la telecomunicazione nell Amministrazione federale (OIAF) SR Istruzioni del CIC del 27 settembre 2004 sulla sicurezza informatica nell Amministrazione federale Ordinanza del 4 luglio 2007 sulla protezione delle informazioni della Confederazione (ordinanza sulla protezione delle informazioni, OPrI), SR Legge federale del 19 giugno 1992 sulla protezione dei dati (LPD) RS Ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD) RS

20