Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza)"

Transcript

1 0 SECURITY JUNGLE XP :1 Pagina 1 C A P I T O L O Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza) Capitolo

2 0 SECURITY JUNGLE XP :1 Pagina 2 2 Capitolo Introduzione alle regole Spesso ci sono così tanti elementi intrecciati intorno a una certa situazione, che le migliori soluzioni di sicurezza restano nell ombra. Questo fa sì che molte organizzazioni prendano regolarmente pessime decisioni. Le decisioni efficaci devono essere ferme e basate su solidi ragionamenti che contemperano l impatto a breve e lungo termine. Una decisione presa su un problema di sicurezza dovrebbe essere in linea con quelle precedenti e con quelle che verranno prese in futuro. Prendere decisioni ad hoc, per il caso specifico, porterà eventualmente a pratiche di sicurezza difettose. Quindi, la cosa migliore è approcciare la sicurezza come una serie di regole basate sulle virtù fondamentali appena discusse. Prendere decisioni sulla sicurezza basate su una serie standard di regole logiche, costanti e universali è una prassi comune tra i buoni professionisti della sicurezza. Spesso inconsapevoli di ciò, i migliori tra loro seguono semplicemente delle serie simili di regole logiche di sicurezza, ancora e ancora. Perciò, è ragionevole concludere che tutti possono prendere ottime decisioni, se solo imparano a seguire delle analoghe regole essenziali. Le otto regole essenziali della sicurezza sono: Le otto regole essenziali della sicurezza I II III IV V VI VII VIII Regola del minimo privilegio Regola del cambiamento Regola della fiducia Regola dell anello debole Regola della separazione Regola della procedura a tre passi Regola dell azione preventiva Regola della risposta immediata e adeguata

3 0 SECURITY JUNGLE XP :1 Pagina 3 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 3 Tra un attimo inizieremo a muoverci tra le otto regole essenziali della sicurezza. Comprenderle e applicarle costituirà il fondamento per la creazione di procedure formali consistenti, mediante le quali prendere decisioni intelligenti e salde. Nel leggere questa sezione ricordate che ciascuna regola, benché specifica nel suo costrutto, deve essere considerata universale nella sua applicazione. Il lettore, naturalmente, penserà subito alle possibili applicazioni di ogni regola nel contesto di una specifica situazione. Tuttavia, è quando saremo in grado di tenere a mente questi concetti chiave per tutte le decisioni sulla sicurezza, anche se non sembrano immediatamente applicabili, che saremo pronti ad affrontare le nostre vere sfide sulla sicurezza. Gli esempi che farò per ciascuna regola vogliono essere soltanto questo, esempi. Tenete presente che quando viene fatto un esempio parlando di un server, quella stessa regola si applica anche alla protezione di una stanza, alla stesura di una policy, allo sviluppo di un applicazione, o a qualsivoglia evento del mondo reale. I Regola del minimo privilegio La regola del minimo privilegio è la più importante e meglio conosciuta tra le regole della sicurezza. Se non viene praticata, i contadini useranno presto la sala del trono come gabinetto e quella del tesoro come loro salvadanaio personale. La regola del minimo privilegio è semplice. Perciò, che uno sia nuovo dell information security o che stia passando giornate in contemplazione dei modelli di controllo degli accessi Clark-Wilson e Bell-LaPadula, questa regola essenziale è ciò a cui tutto si riduce. Capitolo Il concetto Consentire solamente l accesso necessario per svolgere il lavoro, nulla di più. Inoltre, consentire solo l accesso del quale un individuo, gruppo o soggetto può essere responsabile in modo sicuro. In tutte, veramente tutte, le situazioni, è meglio partire con l idea che nulla è consentito, e iniziare a lavorare da lì. Questo è il solo e unico modo per essere sicuri di sapere chi ha accesso a cosa, e perché. Soggetti, oggetti, accesso e contesti Per lavorare con la regola del minimo privilegio dobbiamo prima capire gli elementi coinvolti. Esistono molti modelli di controllo degli accessi che affrontano la questione dei privilegi in modi diversi, ma usano tutti elementi simili. Il seguente elenco tratta alcuni termini standard riguardanti il controllo degli accessi:

4 0 SECURITY JUNGLE XP :1 Pagina Capitolo Soggetto La persona, luogo o cosa che ottiene accesso Oggetto La persona, luogo o cosa a cui il soggetto accede Accesso Il livello o grado di accesso dato al soggetto Contesto La situazione o le condizioni circostanti l accesso La tabella.1 mostra alcuni esempi:: Tabella.1 Esempi di componenti del controllo degli accessi Soggetto Oggetto Accesso Contesto Dipendenti normali Un sistema fisico Lettura Negli orari non di picco John il custode Un indirizzo di rete Modifica Dal computer locale senza controllo Sistemi su Internet Dati normali Esecuzione Via VPN basata su Internet Reti non sicure Dati sensibili Accesso fisico Attraverso un relay sicuro Locazioni fuori del paese Un applicazione Visibilità fisica Che si stia installando un firewall, implementando una nuova connessione di rete o sviluppando un applicazione, si deve sempre riflettere su questa regola primaria. Data una certa situazione, neghiamo tutti gli accessi possibili e poi, secondo quanto necessario, definiamo minuziosamente chi deve accedere a cosa, e come. Tendenze naturali Sfortunatamente per la sicurezza, la tendenza naturale dell uomo è semplicemente quella di mettere cose là fuori, senza restrizioni, e poi provare a proteggerle. Di conseguenza, le nostre pratiche di sicurezza più comuni sono derivate da una lunga serie di controlli post-implementazione, del tipo Blocchiamo questo e quello oh, e anche questo. Tuttavia, tener conto dei miliardi di questo e quello possibili nel mare delle informazioni conduce ad un livello assurdo di complessità, che diventa rapidamente ingestibile. Esempi di considerazioni sulla sicurezza, basate su soggetto, oggetto, azione e

5 0 SECURITY JUNGLE XP :1 Pagina 5 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 5 contesto usando la regola del minimo privilegio Gli amministratori di sistema hanno accesso all applicazione X per aggiungere, eliminare o modificare gli account da dentro la LAN tra le ore 8 a.m. e le ore 6 p.m. Gli utenti hanno accesso in lettura alle informazioni dei propri account. Questo può avvenire a qualunque ora e da qualunque luogo esterno. Nessun altro accesso è consentito a questa applicazione finché non vengano apportate formalmente delle correzioni a questa serie di regole. Avete mai notato che nel fare gestione degli account l amministratore non può vedere la password dell utente? Ci si potrebbe domandare quale ne sia la ragione, visto che l amministratore ha accesso completo a quell account, o potrebbe semplicemente modificare la password per averlo. La verità è che l amministratore non ha mai bisogno di conoscere la password dell utente per svolgere le proprie attività, e negando tale privilegio non necessario, aumentiamo la sicurezza dell ambiente. In questo caso la regola del minimo privilegio può proteggere la password dell utente nell eventualità che sia condivisa tra più sistemi, e costringe inoltre l amministratore a compiere azioni particolari (che verranno registrate) quando vuole avere accesso all account di un utente. Possono esserci in realtà diverse ragioni per impedire tali azioni, che potrebbero anche non risultare immediatamente evidenti. Osservando la regola del minimo privilegio, comunque, risolviamo il problema senza doverci preoccupare di tutti questi dettagli. Capitolo Considerate questo scenario: mettiamo semplicemente in linea un nuovo server, con i dati degli stipendi, nella rete del nostro dipartimento finanziario. Dopo averlo messo in funzione e testato, diamo un occhiata alla sicurezza e cominciamo a decidere come proteggerlo. A questo punto tentiamo di riflettere su tutte le cose che non vogliamo che accadano a questo server: Nessuno dovrebbe avere accesso per amministrarlo via Internet, poiché Internet non può essere resa sicura. I nuovi assunti non dovrebbero avere accesso per modificare dati sensibili, poiché ciò potrebbe distruggere preziose informazioni.

6 0 SECURITY JUNGLE XP :1 Pagina 6 6 Capitolo Accedere al sistema via telnet è decisamente insicuro, quindi dobbiamo eliminare tale possibilità. Il custode che arriva di notte non dovrebbe avere accesso per giocare con dei videogiochi sul sistema. Anche considerando una situazione semplice con cinque dipendenti, cinque sistemi, cinque reti e cinque locazioni fisiche, verrà fuori un elenco di qualche migliaio di eventualità, e staremo ancora trascurando dei buchi vitali nella sicurezza. Si può risolvere questo problema solo mediante la regola del minimo privilegio, partendo da un impostazione di nessun accesso, e poi specificando cosa è consentito. Gli avvocati seguono questa prassi, come anche i casinò, le forze armate e, ora, il personale dell information security. Siete mai stati in un casinò? Se si vuole imparare la regola del minimo privilegio, Las Vegas è il posto dove andare. I casinò funzionano partendo dal presupposto fondamentale che nulla è permesso, che viene poi allentato per consentire solamente le azioni più controllate. Un casinò consentirà ai suoi clienti di arrivare fino al suo ingresso. Appena, però, un cliente tenta di varcare la soglia, arriva la regola del minimo privilegio, e non ci sono scuse o eccezioni che consentiranno a qualcuno di oltrepassare quel punto di controllo! Quando è troppo? La maggioranza degli attacchi che hanno successo è basata su exploit che sfruttano un accesso apparentemente inoffensivo. Nessuno potrebbe mai predeterminare tutti i modi in cui qualcuno può penetrare dentro qualcosa. Per cui la regola del minimo privilegio può essere portata al suo estremo prima di essere considerata ossessiva o superprotettiva. Ad esempio, i dipendenti hanno davvero bisogno di fare un ping verso i sistemi su Internet? Potremmo non considerarlo un rischio, ma in realtà, alcuni protocolli di tunneling degli hacker si basano proprio sul protocollo a cui appartiene il ping. Consentendo semplicemente dei ping in uscita dai nostri sistemi interni, stiamo assumendo dei rischi non necessari che potrebbero esporci. Seguendo la nostra regola del minimo privilegio, le restrizioni degli accessi rilevanti, riguardo al ping, dovrebbero essere come segue: Il nostro firewall blocca tutti i ping di chiunque. Gli amministratori della nostra rete avranno bisogno di poter fare ping verso l esterno a scopo di test, e incorreremmo in gravi perdite di produttività se non potessero farlo, quindi il ping è consentito agli amministratori verso l esterno.

7 0 SECURITY JUNGLE XP :1 Pagina 7 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 7 Nessun altro ha una reale necessità di farlo, quindi non sarà consentito a nessun altro, finché non ce ne sia un esigenza aziendale concreta. Per la natura della regola, le restrizioni non possono mai essere portate troppo avanti. Se la regola dovesse causare un conflitto, significa che non viene usata bene. Ad esempio, se vengono poste così tante restrizioni a un dipendente che questi non riesce più a essere produttivo, allora evidentemente non stiamo seguendo la regola del minimo privilegio. Se un dipendente non riesce a svolgere il suo lavoro senza accesso, allora la regola dice che tale accesso deve essere consentito. Tenete semplicemente a mente che quelle cose che sono necessarie per mantenere gli impiegati produttivi, i clienti soddisfatti e gli affari in movimento, sono proprio le cose da considerare essenziali, e devono essere permesse. Tutto il resto dovrebbe essere bloccato, fino al momento in cui dovesse diventare necessario. Mentre scrivevo questo libro, ne ho spesso inviato copie di backup crittografate a un mio partner in California. Non gli ho mai, tuttavia, rivelato la chiave che poteva decifrare i file. Non si trattava di una questione di fiducia, né pensavo che avrebbe fatto qualcosa per danneggiare il mio lavoro. Semplicemente, non aveva alcun bisogno di conoscere la chiave segreta o di accedere alle informazioni, quindi la cosa è stata sottoposta alla regola del minimo privilegio. Capitolo Praticare questa regola Questa regola dovrebbe essere applicata a tutto ciò che necessita di sicurezza. Il grado fino a cui essa viene forzata dovrebbe essere attenuato solamente per non creare sovraccarico eccessivo sui dispositivi, i dipendenti, gli amministratori e i clienti. Per eccessivo intendo qualunque misura causi più danni che vantaggi. Ma state attenti a come definite eccessivo, e confrontatelo sempre con l eventualità di subire l intrusione di un hacker (tratterò la valutazione dei rischi più avanti, nel Capitolo 8, Valutazioni pratiche sulla sicurezza). La regola del minimo privilegio dovrebbe essere tenuta in considerazione nel prendere qualunque decisione sull introduzione di un nuovo sistema, servizio, applicazione, rete o punto d accesso in una realtà, o nell apportare qualunque cambiamento all ambiente. Questa regola è una delle nostre poche difese contro le vulnerabilità nascoste che non vengono normalmente scoperte finché non sono sfruttate. Quindi, più restrittivi possiamo essere nel consentire accesso agli oggetti, meno è probabile che ci ritroveremo a subire un attacco. Ecco alcuni consigli pratici che aiutano ad applicare questa regola: Creare tutte le regole di sicurezza ispirandosi alla regola del minimo privilegio Quando si considera l accesso a vari oggetti, scrivere esatta-

8 0 SECURITY JUNGLE XP :1 Pagina 8 8 Capitolo mente cosa è consentito, e finire con l affermazione espressa che ogni altra forma di accesso non esplicitamente elencata viola la policy. Iniziare sempre negando tutto Le applicazioni, i database (DB), i sistemi di rete e tutti gli altri punti di accesso dovrebbero partire da una situazione in cui nulla è permesso. Una volta che tutto è negato, si dovrebbe specificare l accesso autorizzato prendendo in considerazione il soggetto, il contesto dell accesso e i diversi livelli di privilegio. Tentare di configurare in modo aperto e poi bloccare le azioni pericolose può essere una pratica estremamente nociva. Includere sempre la regola del minimo privilegio in tutte le seguenti pratiche di sicurezza: Policy scritte Regole di firewall, proxy, controllo dei router e tutti gli altri controlli basati su rete Implementazione, protezione, amministrazione dei server e tutti gli altri controlli basati su sistemi Implementazione delle workstation locali e privilegi degli utenti Sviluppo o implementazione di nuove applicazioni, servizi e datbase Accesso fisico ad aree o strumenti sensibili Cinque passi per applicare la regola del minimo privilegio in qualunque situazione Ecco un modo rapido da usare per applicare la regola del minimo privilegio in una decisione sulla sicurezza. Creare un documento di una pagina con tutte le seguenti informazioni sarà estremamente utile per capire e riflettere sulla decisione in futuro. Come sempre, i passi che seguono sono solo delle linee guida; accertatevi di mantenere la giusta apertura mentale e di afferrare i concetti che stanno dietro a questi passi: 1. Iniziare scrivendo, programmando, collocando o configurando i controlli per consentire NESSUN ACCESSO. 2. Classificare gli oggetti (le cose su cui stiamo dando accesso), i soggetti (le persone o cose che stanno ottenendo accesso), il tipo di accesso e il suo contesto (via rete, da un sistema protetto e così via) Ricordare che un soggetto può essere una persona, un gruppo di persone, un applicazione o qualunque altra cosa che necessiti di accedere all oggetto. 3. Determinare se il soggetto ha realmente bisogno di avere accesso all oggetto, in quali circostanze, con quali mezzi e quanto è importante che lo ottenga. Valutare se il soggetto ha o meno la forte necessità e un sufficiente

9 0 SECURITY JUNGLE XP :1 Pagina 9 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 9 livello di responsabilità per ottenerlo. Concentrare l attenzione sui seguenti dettagli: Accesso richiesto (Il soggetto ne ha bisogno?) Quale livello di accesso è necessario, visto il ruolo del soggetto? Gli si deve assegnare solo questo, e nulla più. Responsabilità dell accesso (Il soggetto può gestirlo?) Il soggetto è abbastanza fidato da gestire l accesso? È, esso stesso, abbastanza sicuro? Se il soggetto è una persona, è stato addestrato ed esaminato, e ha firmato gli opportuni documenti legali? Contesto dell accesso (Il contesto è sicuro?) In quale contesto questo accesso può avvenire in modo sicuro? Possiamo fidarci del luogo, del sistema e dell orario dell accesso?. Con le informazioni ottenute mediante questo processo, siamo ora meglio attrezzati per prendere una decisione fondata. Anche se la decisione fosse di consentire accesso illimitato a una risorsa critica, almeno siamo passati per un processo di riflessione formale e abbiamo soppesato i fattori, e non siamo inconsapevoli dei potenziali problemi. 5. Documentare il livello di accesso che deve essere consentito, in modo che esista una traccia e che situazioni analoghe possano essere affrontate senza dover ripetere nuovamente l intero processo. Capitolo II Regola del cambiamento Perché un organizzazione possa rimanere dinamica e competitiva, deve essere in grado di adattarsi e cambiare insieme al mondo che la circonda. Per i professionisti IT ciò significa un flusso ininterrotto di aggiornamenti, miglioramenti e sostituzioni della tecnologia. Tutto ciò presenta diverse sfide alle procedure di information security. Il concetto La regola del cambiamento afferma che il cambiamento deve essere gestito, coordinato e se ne devono considerare le possibili implicazioni per la sicurezza. Qualunque cambiamento all interno di una realtà porta con sé dei rischi, in qualche forma. Installare un nuovo sistema Linux potrebbe introdurre un buco nella sicurezza; applicare una patch a un server Windows 2000 potrebbe mandare in crash un ap-

10 0 SECURITY JUNGLE XP :1 Pagina Capitolo plicazione; e fare una modifica a un firewall potrebbe bloccare la posta elettronica verso i clienti. Tanto per peggiorare le cose, ogni modifica tende ad avere effetti diversi a seconda dell ambiente circostante. Se l esperienza c insegna qualcosa, è che il fatto che la patch X funzioni egregiamente a casa non significa che farà altrettanto sul nostro server critico! Una gran quantità di modifiche è in corso in un ambiente tecnico in ogni dato momento: nuove applicazioni vengono installate, percorsi di routing vengono modificati, software e sistemi operativi vengono aggiornati e rinnovati. Pensate a una qualunque cosa, e quella sta cambiando. Ogni componente che cambia porta con sé il rischio di influenzare l ambiente in termini di sicurezza, integrità e disponibilità; e la maggior parte delle volte il rischio non è evidente. Un fattore che contribuisce in misura significativa ai down time in ambito aziendale è la mancanza di coordinamento tra amministratori dei sistemi, amministratori di rete, amministratori della sicurezza e utenti, quando si stanno verificando dei cambiamenti. Parimenti, un gran numero di vulnerabilità che appaiono in una tipica azienda provengono da cambiamenti non controllati. Tutti sono colpevoli: l amministratore IT che installa una nuova applicazione, l utente che collega il nuovo laptop a una linea telefonica, e il nuovo dipendente che installa dei videogame per giocare durante il pranzo. È realmente difficile, per un essere umano, stare seduto di fronte a uno strumento dinamico come un computer e resistere alla tentazione di apportargli qualche rilevante cambiamento. La maggior parte di queste modifiche sembra abbastanza semplice, ed è spesso difficile immaginarne il possibile impatto globale. Ma i cambiamenti, se non gestiti adeguatamente, possono diventare i mattoni mobili nel muro del castello. Quindi, gestire i cambiamenti è un fattore chiave della sicurezza di qualunque organizzazione. Il fenomeno dei porcellini d India nei cambiamenti I cambiamenti dovrebbero essere implementati solo dopo che se ne è dimostrata la sicurezza. Le aziende di software, specialmente le più grandi, sono famose per rilasciare prodotti con più cose guaste che funzionanti. In parte a causa della mancanza di adeguati requisiti di test e dei problemi derivanti dal codice sorgente chiuso, in parte per l estrema difficoltà di testare casi astratti, i nuovi prodotti sono inevitabilmente pieni di bug. Il desiderio della mente umana di cose nuove e migliori, unito alla generale mancanza di pazienza e cautela, ci spinge a correre a procurarci i nuovi prodotti appena usciti sugli scaffali. Io lo chiamo fenomeno dei porcellini d India: migliaia di persone che si affrettano per prendere un prodotto, praticamente pagando per essere gli ultimi collaudatori dell azienda che lo ha sviluppato. Introdurre un nuovo prodotto hardware o software in una realtà comporta un certo grado di rischio. Non solo il prodotto potrebbe essere instabile, ma potrebbe influenzare la stabilità del software, dei sistemi e delle reti circostanti. È importante essere consapevoli di questo, prima di implementare alcunché di nuovo nel proprio ambiente.

11 0 SECURITY JUNGLE XP :1 Pagina 51 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 51 Problemi con la varietà nei cambiamenti I cambiamenti dovrebbero essere coerenti e non introdurre una grande varietà. In un organizzazione più varie sono le tecnologie, più difficile sarà mantenere la sicurezza. Se tutti i sistemi di una realtà sono Compaq o Dell, tutti i router sono Lucent e tutti i computer sono Windows 2000 o Solaris. 2.7, allora non sarà difficile mantenersi aggiornati con i vari problemi e vulnerabilità associati con questi prodotti. Se, tuttavia, viene permesso ai manager di comprarsi il proprio equipaggiamento, l ambiente diverrà più variegato nelle sue tecnologie. Potrebbe rivelarsi impossibile stare al passo con le diverse patch di sicurezza, gli hot-fix e altri problemi. Praticare questa regola Le parole chiave che ogni security manager deve conoscere sono gestione dei cambiamenti. Senza qualche forma di governo o controllo dei cambiamenti, un organizzazione sarà afflitta da down time, falle nella sicurezza e confusione generale. Una modifica significativa in qualunque parte di una rete costituisce una modifica significativa alla rete nel suo complesso. Più cambiamenti nello stesso tempo possono determinare conseguenze imprevedibili, rendendo impossibile il troubleshooting. Modifiche non autorizzate o non comunicate possono scavalcare tutte le misure di sicurezza e lasciare l ambiente aperto al più sprovveduto degli hacker. Capitolo Senza una gestione dei cambiamenti c è poca speranza di mantenere la sicurezza all interno di un organizzazione. Non esiste misura di sicurezza che non possa essere annullata da qualcuno che apporta una modifica non autorizzata e non resa nota a un server, una rete o una workstation di una certa realtà. Ecco alcune buone linee guida per seguire la regola del cambiamento nella vostra organizzazione: Implementare il controllo dei cambiamenti È essenziale che le organizzazioni implementino qualche tipo di sistema di controllo/gestione dei cambiamenti. Tratterò un esempio di procedura di gestione dei cambiamenti alla fine di questa sezione. Rendere efficiente la procedura Il successo di una procedura di gestione dei cambiamenti è soprattutto valutato in base alla sua capacità di fuzionare senza diventare un impedimento. L obiettivo primario della procedura stessa dovrebbe essere quello di documentare e coordinare le modifiche. Se la procedura viene resa troppo farraginosa, nessuno la seguirà. A volte può esser semplice quanto un aiutante che compila una lista di tutte le modifiche proposte, lista esaminata poi da un buon amministratore capace di individuare quelle che non dovrebbero essere effettuate contemporaneamente.

12 0 SECURITY JUNGLE XP :1 Pagina Capitolo Applicare la procedura universalmente Niente dovrebbe essere installato, aggiornato o significativamente modificato su un server o un dispositivo senza prima seguire la procedura di gestione dei cambiamenti. In alcuni casi potrebbe anche non essere richiesto un permesso e potrebbe bastare una semplice documentazione dei passi compiuti. In tali casi è importante solamente che la procedura di gestione dei cambiamenti sia stata osservata. Esaminare le modifiche alla sicurezza I cambiamenti, gli aggiornamenti o le modifiche a qualunque filtro di sicurezza devono passare anch essi attraverso la procedura. Le decisioni non dovrebbero essere lasciate solamente agli amministratori tecnici, dovrebbero piuttosto essere prese come gruppo. Controllare anche le modifiche ai desktop Un elenco delle applicazioni per i desktop testate e approvate dovrebbe essere incluso nella desktop policy. Ogni nuova applicazione da installare dovrebbe prima essere approvata dal management e inclusa in questo elenco. Eliminare il fenomeno dei porcellini d India Come regola generale, non implementate un prodotto finché non sia stato testato dalla prima ondata di utenti. Arrivate a rendere questo punto una policy scritta: Nessun nuovo prodotto può essere installato in azienda a meno che non sia distribuito nella sua forma definitiva da almeno -6 mesi, o sia stato dato il permesso da una fonte superiore. Ciò dovrebbe includere nuovi sistemi operativi, nuove applicazioni e nuovi dispositivi da collegare alla rete. Standardizzarsi su un ristretto gruppo di tecnologie Non dovete assolutamente legarvi a un particolare fornitore o a una particolare tecnologia; tuttavia, è importante avere un limite nella varietà del vostro ambiente. Questo ridurrà notevolmente il numero di potenziali problemi e vulnerabilità, migliorando al contempo la capacità dell organizzazione di mantenersi aggiornata con gli update e le fix di sicurezza. Riguardo ai nuovi aggiornamenti Evitare il fenomeno dei porcellini d India con i nuovi prodotti è relativamente facile; tuttavia, a volte ci troviamo in una posizione scomoda riguardo ai nuovi aggiornamenti. Quando viene rilasciata una nuova patch che risolve un problema fastidioso, vogliamo installarla al più presto. Questo comporta la domanda: Dobbiamo installare una nuova patch a dispetto del rischio dei cambiamenti?. Per avere un idea, immaginate il costo di dover reinstallare l intera applicazione e fare ore di troubleshooting, prima di decidere se ne vale la pena per quella patch. Ricordate che è molto frequente, per le aziende sviluppatrici, creare patch per le loro patch a causa di errori e incompatibilità. Le nuove patch introducono nuovi bug che richiedono a loro volta nuove patch affinché tutto funzioni correttamente.

13 0 SECURITY JUNGLE XP :1 Pagina 53 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 53 Riguardo i nuovi aggiornamenti di sicurezza Le security patch sono spesso la cosa più difficile con cui aver a che fare. C è immediato bisogno della patch, ma per il resto il sistema sta funzionando bene. Non vogliamo rischiare di danneggiare un sistema funzionante con una nuova patch, ma al tempo stesso non vogliamo essere vulnerabili! Ancora una volta la decisione può essere molto logica se consideriamo la natura della patch e il potenziale rischio di un problema. È importante capire l estensione della vulnerabilità e confrontarla con il costo di un disastro (nel caso in cui il sistema fosse danneggiato dalla patch e dovesse essere rifatto). Ricordate sempre: per una vulnerabilità che non viene chiusa è soltanto una questione di tempo prima che venga sfruttata. Le security patch dovrebbero essere sempre installate a meno che il rischio dell applicazione della patch sia superiore a quello di subire un intrusione. Riflettere sulla regola del minimo privilegio La regola del minimo privilegio afferma che se l accesso non è necessario o non può essere gestito adeguatamente, dovrebbe essere negato. Questo è particolarmente vero per gli utenti e gli amministratori che apportano modifiche all interno della propria realtà. A nessun gruppo dovrebbe essere dato l accesso per eseguire dei cambiamenti se non è qualificato per farli. La parola gruppo è usata qui in senso specifico perché la cosa deve essere forzata anche quando abbiamo qualche singolo utente abbastanza capace, in grado di apportare cambiamenti intelligenti ai sistemi. Capitolo I professionisti non sono certamente un eccezione a questa regola. In particolare dovremmo stare attenti a cosa installiamo e dove. Se sono necessari molti cambiamenti, considerate l eventualità di costruire una rete di test scollegata da quella principale. Fate anche riferimento alla discussione sulla limitazione dell utilizzo degli account administrator e root, più avanti nel Capitolo 11, Le regole in pratica. Sei passi per implementare una procedura di gestione dei cambiamenti di base Di seguito ho fornito una semplice procedura di gestione dei cambiamenti. Questa procedura è soltanto una guida per iniziare. Tenete a mente che una procedura vera deve essere confezionata su misura per le esigenze dell organizzazione. 1. Scrivere una policy per designare una procedura di gestione dei cambiamenti e i tipi di cambiamento che ricadono sotto di essa. Le regole di questa policy dovrebbero essere obbligatorie e prontamente imposte a tutti gli ingegneri e i manager.

14 0 SECURITY JUNGLE XP :1 Pagina 5 5 Capitolo 2. Stilare uno schedule standard delle modifiche comuni e delle attività che influenzano l ambiente Ogni giorno alle 11:00 p.m.: Avviare il backup dei sistemi per tutte le reti. Ogni giorno alle 2:00 a.m.: Scaricare l ultimo aggiornamento dell antivirus. Il martedì alle 5:00 a.m.: Eseguire una scansione standard della sicurezza. 3. Fornire una classificazione per tutti i tipi di cambiamento non comuni, riassumendo i rischi che rappresentano per l ambiente. Questo elenco dovrebbe essere calibrato sulle specifiche esigenze dell organizzazione. Ecco un esempio: Livello 1: Livello 2: Modifica superficiale a un server, router, WAN o altro dispositivo Modifica funzionale a un normale server, router, WAN o altro dispositivo Livello3: Modifica funzionale a un server, router, WAN o altro dispositivo critico, o modifica che influenza più strumenti. Fornire una classificazione per tutti i tipi di cambiamento che vengono effettuati, usando una scala di criticità. Il valore assegnato dovrebbe determinare quanto è urgente un cambiamento. Normale: Questi sono i tipici cambiamenti dell IT che potrebbero aspettare diversi giorni prima di essere effettuati. La maggior parte dei cambiamenti ricade in questa categoria. Alto: Critico: Questi sono i cambiamenti urgenti che dovrebbero essere effettuati entro le ventiquattr ore. Includono le patch, gli aggiornamenti e le modifiche di configurazione che dovrebbero apportare consistenti benefici all organizzazione, se effettuati rapidamente. Questi sono i cambiamenti estremamente urgenti che dovrebbero essere effettuati subito, appena approvati. Questa categoria comprende le security patch urgenti e gli aggiornamenti necessari per evitare problemi imminenti.

15 0 SECURITY JUNGLE XP :1 Pagina 55 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza Si dovrebbe realizzare un meccanismo di approvazione mediante il quale gli ingegneri e i manager devono annunciare le modifiche che intendono fare. Per quelle di un certo livello, un approvazione deve essere ricevuta dall individuo o gruppo incaricato di coordinare i cambiamenti. Come minimo le seguenti informazioni dovrebbero essere fornite per l approvazione: I dettagli di base sul cambiamento che viene fatto I livelli di rischio e criticità per quel tipo di cambiamento Una data e un ora previste per il cambiamento Le informazioni per contattare chi fa il cambiamento e chi l ha approvato 6. Dovrebbe essere resa disponibile agli ingegneri e ai manager una lista dei cambiamenti approvati. Se mai si verificasse un problema durante le normali attività quotidiane, questa lista dovrebbe essere esaminata per verificare se la causa possa essere un cambiamento programmato. Gli eventi sospetti dovrebbero essere confrontati con la lista per individuare eventuali correlazioni. III Regola della fiducia Un buon praticante della regola della fiducia è colui che è amico di tutti, ma in realtà non si fida di nessuno. Poiché dire che non ci fidiamo di qualcosa o qualcuno ha spesso un suono negativo, cerchiamo di essere più politically correct e dire semplicemente: tutto può accadere. Certo, Mel è stato un impiegato fedele per venti anni e aiuta i gattini dispersi a trovare una casa durante le vacanze invernali. Questo non significa che dobbiamo dargli la combinazione della nostra cassaforte, o lasciarlo entrare in sala computer senza registrarne l ingresso. Il fatto è che tutto può accadere e accadrà. Mel potrebbe avere un esaurimento e decidere di cancellare tutti i dati dei nostri clienti. Mel potrebbe anche nutrire un rancore segreto contro il capo delle risorse umane perché quello odia i gatti. La verità è che, semplicemente, non si sa mai. Capitolo Il concetto Comprendete tutte le conseguenze prima di concedere fiducia a qualcuno o qualcosa, e concedetela solo su ciò che è necessario (regola del minimo privilegio). Cercate di capire che fiducia è una parola estremamente forte e può avere effetti drastici su un organizzazione. Nella sicurezza dare a qualcuno o qualcosa fiducia completa significa mettere nelle sue mani un grande potere. Nel momento in cui qualcuno è fidato ha l incredibile potere di fare qualunque cosa. Se nessuno controlla, allora le regole non possono realmente applicarsi. Questa è una situazione molto pericolosa.

16 0 SECURITY JUNGLE XP :1 Pagina Capitolo Le security policy dovrebbero essere fatte con l idea di una fiducia a livelli. Per svolgere un lavoro l azienda deve riporre un certo grado di fiducia in ciascun dipendente. Questo livello di fiducia, tuttavia, dovrebbe essere diverso sulla base della singola persona e del suo ruolo. In omaggio alla regola del minimo privilegio, va ribadito che nessuno dovrebbe avere un accesso a meno che non ne abbia bisogno e possa gestirlo. I sentimenti di fiducia personale, amichevolezza e mancanza di sospetto non dovrebbero mai influenzare le procedure di sicurezza di base. Tutti gli individui e i gruppi dovrebbero essere trattati ugualmente secondo la regola del minimo privilegio. Nello svolgere controlli sulla sicurezza, ho notato che la maggioranza dei dipendenti dei miei clienti soffre di un travolgente senso di fiducia. Entrate in una sala server non annunciati con un bel vestito e la maggior parte delle persone si fiderà di voi e vi indicherà la presa di rete più vicina. Un hacker raramente si fa annunciare o presenta un biglietto da visita da hacker. Non siate scontrosi né fatevi dei nemici, ma al tempo stesso non lasciate che chiunque vada in giro senza controllo. Dobbiamo essere particolarmente attenti nel fidarci dei nostri partner, fornitori e qualunque altra entità che ospita sistemi, reti e aree fisiche fuori dal nostro immediato controllo. Certo, potrebbe essere un azienda gigantesca con una grande sicurezza, ma a meno che non controlliamo chi mette le mani sui loro sistemi, e non abbiamo la possibilità diretta di assumere e licenziare il loro personale, non sappiamo realmente con chi abbiamo a che fare. Il loro miglior dipendente potrebbe lasciare che suo figlio usi una workstation per fare i compiti di scuola, il che significa, ne siamo sicuri, che su tutti i server di e-commerce è installata l ultima versione di Quake. Praticare questa regola Per praticare questa regola nella vostra organizzazione, ricordate semplicemente che chiunque può essere il nemico, persino voi. Con ciò non intendo incitare alla paranoia, ma onestamente i migliori hacker non vestono jeans scuciti e non ostentano slogan antigovernativi su t-shirt macchiate di pizza. Gli uomini sono esseri molto complicati con menti molto complesse; conoscere le motivazioni di ciascuno e come reagirebbe in qualunque situazione è al di là delle nostre capacità. Perciò ricordate sempre: Non fidatevi di nulla al di fuori del vostro immediato controllo Tutto ciò che non è sotto il diretto controllo dell organizzazione, delle sue policy e dei suoi meccanismi di sicurezza dovrebbe essere trattato con un minor

17 0 SECURITY JUNGLE XP :1 Pagina 57 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 57 grado di fiducia. Questo include grossi fornitori, partner, aziende di consulenza e altro. Guardate in tutti gli angoli prima di fidarvi Prima di dare fiducia a qualcuno o qualcosa, considerate tutto ciò a cui quello dà fiducia. Ricordate, se vi fidate dell azienda A, ed essa si fida dell azienda B, voi vi state essenzialmente fidando sia di A che di B! (Parlerò di questo nella sezione Capire la sicurezza relazionale, nel prossimo capitolo). Fate applicare le policy al di là dei livelli di fiducia Per essere efficaci, le security policy devono applicarsi a tutti, anche a coloro che le scrivono. Agli individui e alle entità fidate non dovrebbe essere consentito violare le policy. Mantenere una percezione accurata Quando una regola viene violata, ma non si sa chi l ha violata, non scartate alcuna possibilità, a prescindere dalla fiducia. Sette considerazioni chiave prima di concedere fiducia a qualunque oggetto o entità 1. Questo oggetto è sotto il vostro diretto controllo? 2. A questo oggetto è richiesto di conformarsi alle vostre security policy? 3. La sicurezza di questo oggetto è adeguatamente mantenuta e controllata?. Alla vostra organizzazione è consentito controllare ed esaminare i log dell oggetto? 5. Alla vostra organizzazione è consentito effettuare un test di vulnerabilità sull oggetto e il suo ambiente? 6. Questo oggetto ha dei precedenti quanto a problemi di sicurezza o fallimenti? 7. Quante altre entità hanno accesso a questo oggetto? Capitolo IV Regola dell anello debole Tutti conoscono il concetto di anello debole e sanno che qualunque catena è forte solamente quanto quella tavoletta di chewing gum che ne unisce l estremità. Questo vecchio cliché non è mai stato così vero come quando viene applicato alle procedure tecniche di sicurezza. Gli hacker non si daranno la pena di condurre un complesso attacco a forza bruta, che consuma molto tempo, contro il nostro nuovo, splendido file di password a triplo hash, se possono semplicemente entrare nell ufficio dell assistente e trovare la password scritta su una scrivania. La maggior parte delle organizzazioni hanno una forte miscela di misure di sicurezza forti e deboli, che è spesso l errore fatale che consente all avido attaccante di accedere a dati e sistemi. La regola dell anello debole afferma: una procedura di sicurezza è forte solamente quanto il suo controllo più debole!

18 0 SECURITY JUNGLE XP :1 Pagina Capitolo Il concetto Per riflettere sull anello debole, è necessario considerare la procedura di sicurezza nel suo complesso. Dobbiamo essere in grado di vedere un organizzazione non nei suoi singoli componenti, ma come un unica grande entità con una serie di difese correlate, e dobbiamo prendere ogni decisione da questa prospettiva. Se, ad esempio, impieghiamo il 90% del nostro tempo, della nostra attenzione e del nostro budget nel mettere in linea un firewall e poi non dedichiamo affatto tempo e risorse alla protezione di un nuovo server dial-up, il firewall non serve a nulla. Se spendiamo euro per la porta principale, euro per una porta posteriore e 500 euro per una porta laterale, la sicurezza dell intera organizzazione varrà 500 euro, anche se ci ritroviamo in mano con un conto da euro! Molte organizzazioni tendono a dedicare parecchia cura ai controlli di sicurezza più comuni, mentre quelli non così ovvi ricevono poca o nessuna attenzione. Frequentemente, l attenzione è concentrata così tanto sulla connessione Internet aziendale, che lo staff dimentica totalmente i numerosi buchi di sicurezza nel suo ambiente interno. Qui, il firewall diventa la porta frontale da euro, mentre le altre entrate restano protette da quella da 500 euro. Praticare questa regola Per applicare la regola dell anello debole, bisogna pensare e agire con una mentalità globale. Ogni decisione sulla sicurezza deve riflettere la forza delle altre scelte fatte. Dobbiamo essere ininterrottamente consapevoli dell ambiente, ed essere sempre in grado di identificare gli anelli più deboli all interno dell infrastruttura. A tutti gli anelli deboli della catena della sicurezza deve essere dedicata la stessa attenzione, anche se è così facile dire, Ci rendiamo conto di questa debolezza, e non faremo nulla al riguardo. Le procedure adeguate per seguire questa regola includono: Ricercare continuamente l anello più debole Svolgete regolarmente verifiche e accertamenti dei rischi del vostro intero ambiente (come discusso più avanti, nel Capitolo 8). Siate certi di mantenervi al corrente dei nuovi progetti, iniziative e modifiche all interno della vostra realtà. Ricordate, l anello più debole è un bersaglio mobile e può nascondersi piuttosto bene all interno dei progetti, anche dei più riusciti. Documentate dove esistono debolezze nella sicurezza Dovunque siano gli anelli deboli nell ambiente, è importante esserne a conoscenza. Dovrebbero essere discussi e documentati con i membri dello staff interessati. Anche se non c è nulla che si possa fare riguardo ad essi, sapere semplicemente dove sono ha un valore inestimabile per la sicurezza dell organizzazione. Nascondere all organizzazione gli anelli deboli è sempre una pessima idea.

19 0 SECURITY JUNGLE XP :1 Pagina 59 Le otto regole della sicurezza (elementi di tutte le decisioni sulla sicurezza 59 Evitate di introdurre nuovi anelli deboli Fate in modo che i cambiamenti siano governati da policy robuste, specialmente quando si tratta di nuovi metodi di accesso, nuove applicazioni e nuovi sistemi di archiviazione e gestione dei dati. Cercate di minimizzare il numero di debolezze introdotte nell ambiente. Seguite la regola del cambiamento discussa in precedenza. Eliminare gli anelli deboli più comuni Quello che segue è un elenco degli anelli deboli più comuni che ho visto esporre le organizzazioni agli attacchi. Un altro buon elenco di vulnerabilità è stato compilato dall FBI ed è reperibile sul sito: Installazioni di default Sono inclusi server, dispositivi e applicazioni installati con la configurazione di default, senza applicare alcuna protezione o senza disabilitare nessuno dei servizi predefiniti. Un alta percentuale di prodotti arriva con delle funzioni abilitate per default che introdurranno vulnerabilità nell ambiente. Password scadenti di utenti e amministratori La sicurezza di un oggetto con 100 eccellenti password e 2 password scadenti è buona solamente quanto le 2 password cattive. È molto frequente trovare pessime password che proteggono oggetti altrimenti sicuri. Modem attivi connessi a desktop, server e router I modem non vengono sempre riconosciuti per quell incredibile rischio per la sicurezza che rappresentano. I modem sono spesso preinstallati nei computer e vengono usati dagli utenti che desiderano bypassare le restrizioni aziendali a Internet, o collegarsi da casa, o che semplicemente non hanno altro da fare e non seguono le policy aziendali. I modem vengono spesso sfruttati per attaccare un organizzazione altrimenti sicura. Negligenza nel controllare i log e gli strumenti di monitoraggio Quando gli oggetti non vengono controllati, è praticamente impossibile sapere se sono stati compromessi o no. Ho visto molte situazioni in cui il firewall e l IDS riportavano attività sospette, ma nessuno era incaricato di verificarne i log. Queste organizzazioni sono incapaci di reagire agli attacchi e di prevenire quelli futuri Connessioni di backup/ridondanti non protette Alle connessioni a Internet ridondanti, all accesso dial-in di backup e agli altri collegamenti WAN d emergenza, viene spesso garantita una protezione assai inferiore rispetto a quella delle connessioni principali, esponendole quindi ad attacchi Server, workstation e altri dispositivi implementati per un uso temporaneo Tali oggetti normalmente non vengono protetti e vengono lasciati online molto più a lungo di quanto si prevedesse all inizio, lasciando quindi esposte le loro vulnerabilità. Capitolo

20 0 SECURITY JUNGLE XP :1 Pagina Capitolo Backup trascurati e non testati La maggior parte delle organizzazioni sembra non verificare mai i propri backup. Sfortunatamente, i supporti di backup possono essere veramente infidi da ripristinare e sono inclini ai malfunzionamenti. Ciò espone molte organizzazioni al rischio di perdita dei dati. È già abbastanza negativo subire la rottura di un server e soffrire del relativo down time. Immaginate, però, come sarebbe scoprire che un dispositivo di backup è stato impropriamente configurato e dei dati critici non possono essere ripristinati! Applicazioni non autorizzate Gli utenti e gli amministratori tendono a installare nuove applicazioni sui loro sistemi senza preoccuparsi della sicurezza. Le applicazioni complesse spesso lasciano un sistema vulnerabile agli attacchi. Alcune applicazioni contengono addirittura back doors o sono infette da virus. Software antivirus obsoleti La maggior parte delle organizzazioni installa software antivirus sulla maggioranza dei propri sistemi. Il problema principale sembra essere quello di mantenere aggiornati tutti questi sistemi. Vedo spesso virus e worm irrompere in organizzazioni che hanno piccole sacche di sistemi senza software antivirus aggiornato. V Regola della separazione La regola della separazione afferma che per rendere sicuro qualcosa, questo deve essere separato dai pericoli e dalle minacce dell ambiente circostante. In omaggio alla regola del minimo privilegio, dovremmo concedere l accesso alla nostra stanza del tesoro solamente a coloro che ne hanno reale bisogno. Immaginate, tuttavia, se avessimo anche una biblioteca al centro della nostra stanza del tesoro, e dovessimo consentire agli studenti di entrare per studiare. Non vogliamo che gli studenti abbiano accesso all oro, ma non possiamo impedire loro l accesso ai libri! Spesso le nostre stanze del tesoro non sono tali da poter dire facilmente, l oro è dentro e i ladri sono fuori, come le barriere protettive che costruiamo non sempre esistono sul perimetro delle nostre reti. Molte volte è importante separare diversi oggetti interni per evitare di introdurre un esposizione non necessaria. Il concetto È risaputo che più compiti un dispositivo deve svolgere, più problemi è verosimile che abbia. È una pessima idea per qualunque azienda avere 10 applicazioni in esecuzione su un sistema, a causa dell alta probabilità che queste applicazioni non siano state progettate o testate per condividere con altre il server che le ospita. È anche noto che più soggetti hanno accesso a un oggetto, più alta è la possibilità

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

Le Best Practices per proteggere Informazioni, Sistemi e Reti. www.vincenzocalabro.it

Le Best Practices per proteggere Informazioni, Sistemi e Reti. www.vincenzocalabro.it Le Best Practices per proteggere Informazioni, Sistemi e Reti www.vincenzocalabro.it Goal E difficile implementare un perfetto programma di organizzazione e gestione della sicurezza informatica, ma è importante

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

Introduzione. xiii. Introduzione

Introduzione. xiii. Introduzione Il tema di questo libro è semplice: come progettare al meglio siti web e app per dispositivi mobili (smartphone e tablet). Cosa c è di diverso dagli altri testi sull argomento? Questo in particolare si

Dettagli

OUTLOOK EXPRESS CORSO AVANZATO

OUTLOOK EXPRESS CORSO AVANZATO Pagina 1 di 9 OUTLOOK EXPRESS CORSO AVANZATO Prima di tutto non fatevi spaventare dalla parola avanzato, non c è nulla di complicato in express e in ogni caso vedremo solo le cose più importanti. Le cose

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

Il Centro sicurezza PC di Windows Vista Introduzione alla sicurezza

Il Centro sicurezza PC di Windows Vista Introduzione alla sicurezza Il Centro sicurezza PC di Windows Vista Introduzione alla sicurezza Usa gli strumenti per la vita digitale Negli ultimi anni l aspetto della sicurezza è diventato sempre più importante, la maggior parte

Dettagli

Problemi di una piattaforma di gioco virtuale

Problemi di una piattaforma di gioco virtuale Problemi di una piattaforma di gioco virtuale Nel breve documento troverete riferimenti tecnici e monetari riguardo i problemi di una piccola piattaforma di gioco online. A chi è rivolto? A chiunque stia

Dettagli

Botnet: Il lato oscuro del cloud computing

Botnet: Il lato oscuro del cloud computing Botnet: Il lato oscuro del cloud computing De Angelo Comazzetto, Senior Product Manager Le botnet costituiscono una seria minaccia per le vostre reti, per le aziende, per i vostri partner e anche per i

Dettagli

GRUPPO DI CONTATTO DEI DIRETTORI

GRUPPO DI CONTATTO DEI DIRETTORI GRUPPO DI CONTATTO DEI DIRETTORI PRIMA EDIZIONE (4 giugno 2014) LISTA DI CONTROLLO PER L ASSUNZIONE DI UN BUON CONSULENTE I. Lavoro interno di preparazione II. Criteri personali per la scelta di un consulente

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

Proteggiamo il PC con il Firewall di Windows Vista

Proteggiamo il PC con il Firewall di Windows Vista Proteggiamo il PC con il Firewall di Windows Vista Il momento in cui un computer è più a rischio e soggetto ad attacchi informatici, è quando è connesso a internet. Per proteggere il nostro PC ed evitare

Dettagli

Utilizzo Gestione dei file

Utilizzo Gestione dei file Utilizzo Gestione dei file Info su questo bollettino tecnico L'intento di questo bollettino tecnico è di aiutare gli sviluppatori FileMaker esperti a comprendere meglio e ad applicare le migliori metodologie

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Vulnerabilità di un Sistema Informativo

Vulnerabilità di un Sistema Informativo Vulnerabilità di un Sistema Informativo Un Sistema Informativo e le principali tipologie di minacce alla vulnerabilità e come le tecniche di backup possono essere utilizzate come contromisure a tali minacce.

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

Protezione della propria rete

Protezione della propria rete Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

2. Firewall. sonni tranquilli, Windows XP deve essere. alla larga dal nostro computer, che. Per navigare in Internet e dormire

2. Firewall. sonni tranquilli, Windows XP deve essere. alla larga dal nostro computer, che. Per navigare in Internet e dormire 2. Firewall Per navigare in Internet e dormire sonni tranquilli, Windows XP deve essere protetto da un firewall. Solo in questo modo worm e pirati informatici staranno alla larga dal nostro computer, che

Dettagli

VOLARE E PERICOLOSO? LA RISPOSTA E DENTRO NOI STESSI. volare diventa MOLTO PERICOLOSO se si riducono i margini di sicurezza

VOLARE E PERICOLOSO? LA RISPOSTA E DENTRO NOI STESSI. volare diventa MOLTO PERICOLOSO se si riducono i margini di sicurezza VOLARE E PERICOLOSO? È certamente una domanda legittima, che molti piloti, più o meno consciamente, presto o tardi si pongono. Sorprendentemente, la risposta è a portata di mano: LA RISPOSTA E DENTRO NOI

Dettagli

Grafico del livello di attività per 90 giorni

Grafico del livello di attività per 90 giorni Grafico del livello di attività per giorni "Gli agenti immobiliari di Successo fanno quello che gli agenti immobiliari normali non amano fare." Salvatore Coddetta. Il lavoro di agente immobiliare è quello

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato SHARKMAIL by 2000net La 2000net ha investito molte risorse per combattere il fenomeno dello spam e oggi è pronta a fornire una soluzione ad elevato livello tecnologico indirizzato al settore Business in

Dettagli

www.avg.it Come navigare senza rischi

www.avg.it Come navigare senza rischi Come navigare senza rischi 01 02 03 04 05 06.Introduzione 01.Naviga in Sicurezza 02.Social Network 08.Cosa fare in caso di...? 22.Supporto AVG 25.Link e riferimenti 26 [02] 1.introduzione l obiettivo di

Dettagli

CAPITOLO 4. La progettazione delle reti Ethernet

CAPITOLO 4. La progettazione delle reti Ethernet CAPITOLO 4 La progettazione delle reti Ethernet Il perfetto funzionamento di una rete dipende in grande parte dalla sua progettazione. Spesso, purtroppo molte reti locali o più ampie, sono realizzate senza

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Buon pomeriggio. Grazie per questo invito. E un piacere doppio essere qui a questa tavola rotonda ed in questa splendida città. Tra le cose che vorrei portare alla vostra attenzione, vorrei innanzitutto

Dettagli

Alcolismo: anche la famiglia e gli amici sono coinvolti

Alcolismo: anche la famiglia e gli amici sono coinvolti Alcolismo: anche la famiglia e gli amici sono coinvolti Informazioni e consigli per chi vive accanto ad una persona con problemi di alcol L alcolismo è una malattia che colpisce anche il contesto famigliare

Dettagli

Cenni preliminari sugli account amministratore e account limitato.

Cenni preliminari sugli account amministratore e account limitato. Enrica Biscaro Tiziana Gianoglio TESINA DI INFORMATICA Cenni preliminari sugli account amministratore e account limitato. Per un funzionale utilizzo del nostro computer è preferibile usare la funzione

Dettagli

DOCUMENTO TECNICO. Come rafforzare la fiducia dei visitatori del sito tramite i certificati SSL Extended Validation

DOCUMENTO TECNICO. Come rafforzare la fiducia dei visitatori del sito tramite i certificati SSL Extended Validation Come rafforzare la fiducia dei visitatori del sito tramite i certificati SSL Extended Validation SOMMARIO + L erosione della garanzia di identità 3 + Certificazione di identità affidabile 4 Internet Explorer

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Guadagna $ 30 al giorno con Neobux

Guadagna $ 30 al giorno con Neobux Guadagna $ 30 al giorno con Neobux Oggi stai per conoscere un business online estremamente redditizio dove non si spende un sacco di soldi, ma si può sicuramente guadagnare un sacco di soldi. Quello che

Dettagli

Contromisure 3 Alcuni software. Tra i software sicuramente più interessanti e completamente gratuiti troviamo CCLEANER

Contromisure 3 Alcuni software. Tra i software sicuramente più interessanti e completamente gratuiti troviamo CCLEANER Contromisure 3 Alcuni software Tra i software sicuramente più interessanti e completamente gratuiti troviamo CCLEANER CCleaner è un utilità gratuita per eseguire la pulizia del sistema in modo efficiente

Dettagli

UN APPROCCIO INTEGRATO ALLA SICUREZZA

UN APPROCCIO INTEGRATO ALLA SICUREZZA UN APPROCCIO INTEGRATO ALLA SICUREZZA Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi

Dettagli

Linux come server scolastico. Le reti CFP-UPT e Scuola Media "Argentario" Guido Brugnara Studio Leader Pro Trento Email: gdo@leader.

Linux come server scolastico. Le reti CFP-UPT e Scuola Media Argentario Guido Brugnara Studio Leader Pro Trento Email: gdo@leader. Linux come server scolastico. Le reti CFP-UPT e Scuola Media "Argentario" Guido Brugnara Studio Leader Pro Trento Email: gdo@leader.it Abstract L autore presenta due progetti avviati in scuole dove è stato

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

Il Quotidiano in Classe. Classe III sez. B

Il Quotidiano in Classe. Classe III sez. B Il Quotidiano in Classe Classe III sez. B Report degli articoli pubblicati Dagli studenti sul HYPERLINK "iloquotidiano.it" Ilquotidianoinclasse.it Allestimento di Ottavia Ferrannini Supervisione di Chiara

Dettagli

ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT

ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT FEBBRAIO 2014 Un PC con hardware moderno, sistema operativo e applicazioni di ultima generazione, è la miglior difesa contro l emergere di nuove minacce informatiche.

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

Cosa fare in caso di violazioni di sicurezza

Cosa fare in caso di violazioni di sicurezza OUCH! Settembre 2012 IN QUESTO NUMERO I vostri account utente I vostri dispositivi I vostri dati Cosa fare in caso di violazioni di sicurezza L AUTORE DI QUESTO NUMERO Chad Tilbury ha collaborato alla

Dettagli

Regione del Veneto. AZIENDA SANITARIA U.L.S.S. N. 3 (istituita con L.R. n. 56 del 14.9.1994)

Regione del Veneto. AZIENDA SANITARIA U.L.S.S. N. 3 (istituita con L.R. n. 56 del 14.9.1994) Regione del Veneto AZIENDA SANITARIA U.L.S.S. N. 3 (istituita con L.R. n. 56 del 14.9.1994) sede: Bassano del Grappa via Carducci n. 2 cod. s.i.s. 050 103 N. 1640 /Reg. del D.G. Bassano del Grappa, 28/12/2004

Dettagli

FACSIMILE. Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI:

FACSIMILE. Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI: FACSIMILE Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI: Introduzione Questo documento fornisce agli incaricati del trattamento una panoramica sulle

Dettagli

SECURITY FOR VIRTUALIZATION: COME TROVARE IL GIUSTO EQUILIBRIO

SECURITY FOR VIRTUALIZATION: COME TROVARE IL GIUSTO EQUILIBRIO SECURITY FOR VIRTUALIZATION: COME TROVARE IL GIUSTO EQUILIBRIO Equilibrio tra protezione e prestazioni in un ambiente virtualizzato kaspersky.com/it/beready Introduzione Alla fin fine, si tratta pur sempre

Dettagli

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

EMT110311ITA. KeySecurePC

EMT110311ITA. KeySecurePC KeySecurePC IL PRIMO SISTEMA AL MONDO CHE RENDE I DATI DEL PC DAVVERO INVIOLABILI. 100% DI DEI DATI DEL VOSTRO PC DELLA CRIPTATURA AES256 PER I DATI INTERNI KEYSECUREPC DEL WIPING: DISTRUZIONE VOLONTARIA

Dettagli

Image Manager. Miliardi di documenti Acquisire. Consultare Proteggere. Supporto al processo decisionale, ovunque

Image Manager. Miliardi di documenti Acquisire. Consultare Proteggere. Supporto al processo decisionale, ovunque Miliardi di documenti Acquisire Consultare Proteggere Supporto al processo decisionale, ovunque pagina 2 L efficacia del vostro business dipende da decisioni prese in modo accurato. E le decisioni dipendono

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Approfondimenti tecnici su framework v6.3

Approfondimenti tecnici su framework v6.3 Sito http://www.icu.fitb.eu/ pagina 1 I.C.U. "I See You" Sito...1 Cosa è...3 Cosa fa...3 Alcune funzionalità Base:...3 Alcune funzionalità Avanzate:...3 Personalizzazioni...3 Elenco Moduli base...4 Elenco

Dettagli

Recente aumento della diffusione di virus Malware

Recente aumento della diffusione di virus Malware Recente aumento della diffusione di virus Malware Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente Malware che hanno come scopo principale

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

La scelta appropriata dei testi ALT

La scelta appropriata dei testi ALT La scelta appropriata dei testi ALT Pubblicato da Michele Diodati il giorno 6 agosto 2002 Ha osservato Callie nella Pagina dei commenti: Molti autori non hanno capito esattamente cosa stanno cercando di

Dettagli

www.intego.com PL/ATTIVA/IT/1009

www.intego.com PL/ATTIVA/IT/1009 www.intego.com PL/ATTIVA/IT/1009 Esistono virus per Mac OS X? Esistono virus che colpiscono Mac OS X? Poiché di recente la stampa informatica ha discusso molto riguardo a virus e computer Mac, abbiamo

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

RSA Authentication. Presentazione della soluzione

RSA Authentication. Presentazione della soluzione RSA Authentication Manager ExpreSS Presentazione della soluzione I rischi associati all uso dell autenticazione basata solo su password sono noti da tempo. Eppure, ancora oggi, il 44% delle organizzazioni

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

Ideare e gestire una newsletter

Ideare e gestire una newsletter Ideare e gestire una newsletter Se correttamente gestita, una newsletter può diventare uno strumento davvero utile per tenere informati i visitatori di un sito e conquistare la fiducia e la fedeltà, dei

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni EDILMED 2010 Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI G. Annunziata, G.Manco Napoli 28 Maggio 2010 EDILMED/ 2010 1

Dettagli

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere le applicazioni sempre disponibili: dalla gestione quotidiana al ripristino in caso di guasto

Dettagli

Privacy SPECIALE. Il nuovo Codice della. Terza ed ultima parte

Privacy SPECIALE. Il nuovo Codice della. Terza ed ultima parte SPECIALE Il nuovo Codice della Privacy Terza ed ultima parte Schede riassuntive del Decreto Legislativo n. 196 del 30 giugno 2003 (Suppl. Ord. n. 123 alla G.U. 27.07.2003, n. 174) SCHEDA RIASSUNTIVA DEGLI

Dettagli

Proteggere il proprio computer

Proteggere il proprio computer Proteggere il proprio computer Problemi e soluzioni legati alla sicurezza informatica: strutturiamo la nostra prima linea di difesa di Danilo Paissan Nello scorso numero abbiamo cominciato ad affrontare

Dettagli

l'incubo costante e mutevole del cybercrime.

l'incubo costante e mutevole del cybercrime. CONOSCERE LE MINACCE PER LE PMI Cyberwar, hacktivism e attacchi DDoS fanno sempre notizia. Tuttavia, si tratta di fenomeni limitati esclusivamente a multinazionali ed enti governativi? Esa Tornikoski di

Dettagli

introduzione alla sicurezza informatica

introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile?

Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile? Rimini, 1/2015 Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile? Le configurazioni con Server e desktop remoto (remote app), che possa gestire i vostri

Dettagli

La fiducia. alle scelte di risparmio. Educare i giovani alla finanza e. consapevoli

La fiducia. alle scelte di risparmio. Educare i giovani alla finanza e. consapevoli dicembre 2010 Percorso formativo sperimentale di educazione economico-finanziaria Educare i giovani alla finanza e alle scelte di risparmio consapevoli La fiducia 2 La fiducia Durata: 1 ora. Obiettivo

Dettagli

4. AUTENTICAZIONE DI DOMINIO

4. AUTENTICAZIONE DI DOMINIO 4. AUTENTICAZIONE DI DOMINIO I computer di alcuni laboratori dell'istituto sono configurati in modo da consentire l'accesso solo o anche ad utenti registrati (Workstation con autenticazione di dominio).

Dettagli

12 previsioni sulla sicurezza per il 2012

12 previsioni sulla sicurezza per il 2012 12 previsioni sulla sicurezza per il 2012 Ogni anno, in questo periodo, mi riunisco coni i miei team di ricerca per parlare di ciò che l anno appena iniziato porterà in termini di minacce ai nostri clienti.

Dettagli

Parametri di sicurezza per utenti Mac OS X. Disponibile sul sito: dorsale.unile.it

Parametri di sicurezza per utenti Mac OS X. Disponibile sul sito: dorsale.unile.it Parametri di sicurezza per utenti Mac OS X Disponibile sul sito: dorsale.unile.it Versione: 1.0 11.11.2005 Il punto di partenza Personal firewall Attivare il personal firewall disponibile su Mac OS X tramite

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

La manutenzione/gestione dei server rappresentava un'attività interna lunga e costosa.

La manutenzione/gestione dei server rappresentava un'attività interna lunga e costosa. Descrizione del servizio LookOUT! è il Servizio remoto di monitoraggio e gestione dell intera infrastruttura IT di Global Informatica. Con LookOUT! potrai avere la piena consapevolezza dello stato di funzionalità

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

Come creare una rete domestica con Windows XP

Come creare una rete domestica con Windows XP Lunedì 13 Aprile 2009 - ore: 12:49 Pagina Reti www.google.it www.virgilio.it www.tim.it www.omnitel.it Come creare una rete domestica con Windows XP Introduzione Una rete locale (LAN,

Dettagli

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione Sicurezza asw net il corretto design del tuo sistema informatico una soluzione Sicurezza asw net un programma completo di intervento come si giunge alla definizione di un programma di intervento? l evoluzione

Dettagli

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA Questa vuole essere una breve tutorial su come installare Joomla su uno spazio Web gratuito, in particolare faremo riferimento ai sottodomini gratuitamente

Dettagli

Efficacia nel Lavoro

Efficacia nel Lavoro Piano di Formazione Efficacia nel Lavoro Percorso Relazioni Umane Informazioni: Questo progetto formativo è dedicato alle persone, ai singoli individui che sono al centro di qualsiasi risultato ottenuto.

Dettagli

Internet in due parole

Internet in due parole Internet in due parole Versione 1.1 18-9-2002 INTERNET IN DUE PAROLE...1 VERSIONE 1.1 18-9-2002...1 COSA È INTERNET?... 2 TIPI DI CONNESSIONE.... 2 Cosa è un modem...2 ADSL...2 Linee dedicate...2 CONNESSIONE

Dettagli

Telefono: ALLA CORTESE ATTENZIONE : AMMINISTRATORE, PROPRIETA O DIRETTORE GENERALE

Telefono: ALLA CORTESE ATTENZIONE : AMMINISTRATORE, PROPRIETA O DIRETTORE GENERALE EPOCH BUSINESS ANALYSIS Azienda: Indirizzo: Nome Persona: Mansione: Telefono: E Mail: ALLA CORTESE ATTENZIONE : AMMINISTRATORE, PROPRIETA O DIRETTORE GENERALE ISTRUZIONI: Questa è un analisi del potenziale

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

Perché proteggere i dati

Perché proteggere i dati Perché proteggere i dati Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 febbraio 2010 A. Ferrante Perché proteggere i dati 1 / 24 Sommario A. Ferrante Perché proteggere

Dettagli

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui un sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Le reti di calcolatori

Le reti di calcolatori Le reti di calcolatori 106 Le reti di calcolatori 1 Una rete è un complesso insieme di sistemi di elaborazione connessi tra loro tramite collegamenti fisici (linee telefoniche, cavi dedicati, etc.) o con

Dettagli

La valutazione del personale. Come la tecnologia può supportare i processi HR

La valutazione del personale. Come la tecnologia può supportare i processi HR La valutazione del personale Come la tecnologia può supportare i processi HR Introduzione Il tema della valutazione del personale diventa semprè più la priorità nella gestione del proprio business. Con

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

Una minaccia dovuta all uso dell SNMP su WLAN

Una minaccia dovuta all uso dell SNMP su WLAN Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità

Dettagli

Guida per gli acquirenti

Guida per gli acquirenti Guida per gli acquirenti Abbiamo creato una breve guida per i privati al fine di fornire le informazioni più importanti per l acquisto di un azienda. Desiderate avere una vostra azienda? L acquisto di

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Vademecum per la sicurezza dei dati personali dell Università di Catania

Vademecum per la sicurezza dei dati personali dell Università di Catania UNIVERSITÀ DEGLI STUDI DI CATANIA Vademecum per la sicurezza dei dati personali dell Università di Catania D.Lgs. 196/2003 - Codice della Privacy Introduzione La privacy e l applicazione del D.Lgs. 196/2003

Dettagli