NUOVA ECDL. Clippy per 2ECDL. Flavia Lughezzani Daniela Princivalle. Guida alla patente europea del computer. Edizione OPENSCHOOL

Transcript

1 Flavia Lughezzani Daniela Princivalle Clippy per NUOVA ECDL 2ECDL FULL STANDARD EXTENSION IT Security (SC) Presentation (PR) Online Collaboration (OC) Modulo Using Databases (DB) digitale gratuito Guida alla patente europea del computer Edizione OPENSCHOOL LIBRODITESTO E-BOOK+ RISORSEONLINE PIATTAFORMA

2

3 FLAVIA LUGHEZZANI DANIELA PRINCIVALLE Clippy per Nuova ECDL Volume 2 ECDL FULL STANDARD EXTENSION Guida alla patente europea del computer EDITORE ULRICO HOEPLI MILANO

4 Copyright Ulrico Hoepli Editore S.p.A Via Hoepli 5, Milano (Italy) tel fax Tutti i diritti sono riservati a norma di legge e a norma delle convenzioni internazionali

5 INDICE Indice MODULO 5 IT SECURITY (SC) 1 Concetti di sicurezza Minacce ai dati Valore delle informazioni Sicurezza personale Sicurezza dei file 15 Esercizio di consolidamento 21 2 Malware Definizione e funzione Tipi Protezione 25 Esercizio di consolidamento 27 3 Sicurezza in rete Reti 28 Per saperne di più Configurazione del firewall casalingo Connessioni di rete Sicurezza su reti wireless Controllo di accesso 35 Esercizio di consolidamento 37 4 Uso sicuro del web Navigazione in rete Reti sociali 45 Esercizio di consolidamento 46 5 Comunicazioni Posta elettronica Messaggistica istantanea 50 Esercizio di consolidamento 51 6 Gestione sicura dei dati Messa in sicurezza e salvataggio di dati 52 Per saperne di più Copia di sicurezza nei sistemi operativi Linux Distruzione sicura 56 Esercizio di consolidamento 58 MODULO 6 PRESENTATION (PR) 1 Utilizzo dell applicazione Lavorare con le presentazioni Migliorare la produttività 70 Esercizio di consolidamento 73 2 Sviluppare una presentazione Visualizzare le presentazioni Diapositive Schemi diapositiva 81 Esercizio di consolidamento 84 3 Testi Gestione dei testi Formattazione Elenchi Tabelle 94 Esercizio di consolidamento 97 4 Grafici Usare grafici Organigrammi 105 Esercizio di consolidamento Oggetti grafici Inserire, manipolare Disegnare oggetti 114 Esercizio di consolidamento Preparazione alla presentazione Preparazione Controllo ortografico e rilascio 126 Esercizio di consolidamento 130 MODULO 7 ONLINE COLLABORATION (OC) 1 Concetti di collaborazione Concetti fondamentali 135 III

6 Indice 1.2 Cloud Computing 137 Per saperne di più Struttura delle applicazioni Web 138 Esercizio di consolidamento Preparazione per la collaborazione online Impostazione delle funzioni comuni Impostazione 143 Esercizio di consolidamento Uso di strumenti di collaborazione online Memoria di massa online e produttività 146 Per saperne di più Prezi: presentazioni online Calendari online Media sociali Riunioni online Ambienti di apprendimento online 166 Esercizio di consolidamento Collaborazione mobile Concetti fondamentali Uso di dispositivi mobili Applicazioni Sincronizzazione 179 Esercizio di consolidamento 180 ESPANSIONE DIGITALE MODULO 8 USING DATABASES (DB) 1 Comprendere i database Concetti fondamentali Organizzazione di un database Relazioni Operatività 13 Esercizio di consolidamento 16 2 Utilizzo dell applicazione Lavorare con i database Operazioni comuni 22 Per saperne di più Visualizzazione degli oggetti nel Riquadro di spostamento 23 Esercizio di consolidamento 28 3 Tabelle Record Progettazione 32 Per saperne di più Creare una relazione 41 Esercizio di consolidamento 42 4 Cercare informazioni Operazioni fondamentali Query 48 Esercizio di consolidamento 59 5 Oggetti Maschere 60 Esercizio di consolidamento 69 6 Stampa Report, esportazione di dati 70 Per saperne di più Creare un report di etichette Stampa 84 Esercizio di consolidamento 90 IV

7 PRESENTAZIONE Presentazione Il computer è diventato uno strumento di uso quotidiano e saperlo utilizzare è ormai indispensabile nel mondo della scuola, del lavoro e in quello di tutti i giorni. Inoltre, sapersi avvalere del computer in modo autonomo e trasversale permette di navigare in quella rete globale che è Internet sia come risorsa informativa, sia come luogo virtuale di comunicazione e di collaborazione. La certificazione ECDL La certificazione ECDL (European Computer Driving Licence, Patente europea del computer ) è un attestato riconosciuto a livello internazionale mediante il quale si certifica che colui che l ha conseguito possiede conoscenze informatiche per poter operare con un PC a livello privato ma anche in aziende o contesti professionali. In Italia l ECDL è gestita da AICA (Associazione Italiana per l Informatica e il Calcolo Automatico), membro italiano del CEPIS (Council of European Professional Informatics Societies), un organizzazione non-profit che riunisce le associazioni europee di informatica di cui è garante internazionale. Con la Nuova ECDL, AICA propone i percorsi: Ecdl Base composta dai 4 moduli Computer Essentials, Online Essentials, Word Processing e Spreadsheets; Ecdl Full Standard composta da 7 moduli, ovvero i 4 moduli dell Ecdl Base e dai moduli IT Security, Presentation e Online Collaboration. È possibile conseguire la certificazione ECDL Standard anche con contenuti più flessibili attraverso il percorso ECDL Profile, che consente al candidato di decidere una qualsiasi combinazione di moduli della famiglia ECDL da certificare, in relazione ai propri interessi o esigenze lavorative. Per sostenere l esame relativo ad ogni modulo il candidato deve recarsi presso i Test Center. Le conoscenze e le competenze che il candidato deve possedere per superare ciascun esame sono descritte nel corrispondente Syllabus del rispettivo modulo, un documento redatto dalla ECDL Foundation e concordato a livello europeo che definisce i diversi livelli di conoscenze e abilità informatiche richieste. V

8 Presentazione Svolgimento dell esame ECDL Per sostenere gli esami il candidato deve munirsi della Skills Card (rilasciata da AICA), che può essere acquistata presso un Test Center accreditato. Sulla Skills Card saranno registrati, di volta in volta, gli esami superati. Le prove d esame saranno eseguite mediante il sistema di valutazione automatica ATLAS (AICA Test & Licence Automated System). I test proposti prevedono: domande a risposta singola (_) o multipla ( ), di collegamento, di ordinamento o richieste di esecuzione pratica con l utilizzo del relativo programma in ambiente simulato. Per le richieste di esecuzione pratica, ATLAS può prevedere uno o più percorsi di risoluzione ed è quindi importante che il candidato conosca le diverse modalità operative; a tale proposito, si consiglia di sperimentare anche le procedure descritte nei PERCORSI ALTERNATIVI. IMPORTANTE! Durante ciascuna prova d esame, il candidato non deve mai utilizzare alcuna combinazione di tasti (scorciatoie in alternativa all uso del mouse), in particolare le combinazioni: Ctrl + Alt + Canc, Alt + F4, Shift + Tab, Alt + Tab, Ctrl + C, Ctrl + X, Ctrl + V. Non è ammesso neppure l uso dei tasti funzione, per esempio F1 per consultare l Help in linea. Ogni prova d esame è costituita da 36 items e per superarla è necessario conseguire un punteggio minimo del 75%. La durata di ogni prova è di 45 minuti per ogni modulo. VI

9 Presentazione Organizzazione e contenuti del testo Il testo, che integra con i tre moduli IT Security, Presentation e Online Collaboration quelli proposti nel volume 1 ECDL Base, permette di completare la preparazione per affrontare le prove d esame per il conseguimento dell ECDL Full Standard. La sequenza degli argomenti trattati rispecchia la struttura dei moduli definiti nei rispettivi Syllabus. L ambiente software trattato nel modulo IT Security riguarda il sistema operativo Microsoft Windows Seven e il browser per la navigazione Microsoft Internet Explorer 10, con alcuni cenni al pacchetto Office Il modulo Presentation è completamente dedicato alla trattazione dell applicativo PowerPoint del pacchetto Microsoft Office Nel modulo Online Collaboration si fa riferimento ai servizi Google Drive, Google Calendar, Google Hangout, al social network Facebook, con un breve cenno all ambiente di apprendimento Moodle e al wiki Wikipedia.it. Dalla versione digitale del volume (ebook+), inoltre, è possibile fruire di un ulteriore modulo, Using Databases (relativo ad Access, applicativo del pacchetto Microsoft Office 2010), che fornisce i fondamenti per affrontare la prova d esame a esso relativa, permettendo così flessibilità nella personalizzazione del proprio ECDL Profile. Ogni modulo si apre con il rispettivo Syllabus strutturato in tabella. Ciascun punto del Syllabus è indicato dal corrispondente numero di riferimento e la relativa numerazione di pagina per un facile reperimento dei contenuti. Le procedure operative vengono spesso sviluppate attraverso esercizi applicativi, che l utente può VII

10 Presentazione eseguire richiamandone i file dal sito e sono affiancate da numerose immagini esplicative; i nomi dei comandi, opzioni e scelte sono riportati in colore blu, le parole chiave in colore rosso, mentre le definizioni sono accompagnate dall icona di una lente di ingrandimento. Alcune procedure sono precedute da un breve testo con lo sfondo grigio che introduce l esercizio. L esposizione dei contenuti è arricchita da uno stimolante apparato didattico: icone, schede e impostazioni standard guidano il candidato nell acquisizione delle conoscenze e delle competenze. CLIPPY: fornisce suggerimenti e consigli per semplificare o velocizzare lo svolgimento di un operazione, nonché richiami immediati relativi agli argomenti trattati. PROCEDURA: guida il candidato nell apprendimento corretto e sequenziale delle procedure operative e nella conoscenza degli strumenti che il software mette a disposizione. PERCORSI ALTERNATIVI: presenta ulteriori modalità per raggiungere gli stessi obiettivi della Procedura. PER SAPERNE DI PIÙ: favorisce i possibili approfondimenti sui contenuti esposti. ESERCIZIO DI CONSOLIDAMENTO: presente in ogni sezione, permette di verificare le abilità raggiunte attraverso l esecuzione di prove teorico-pratiche relative ai contenuti trattati nella medesima sezione. VIII

11 Materiali multimediali e risorse online Presentazione Dal sito ( ) è possibile, attraverso un apposito link d accesso, raggiungere il Simulatore Maxisoft. Il Simulatore permette di accedere alle simulazioni interattive della prova d esame per ciascun modulo trattato nel volume. Per eseguire le simulazioni occorre utilizzare il codice coupon riportato in terza di copertina. Il sistema consente: di ripetere la stessa simulazione più volte (magari dopo aver approfondito gli argomenti); di ripetere solo le domande a cui è stato risposto in modo errato; di far generare una nuova simulazione estraendo altri items dal database; di ottenere un feedback sulle domande esatte e su quelle sbagliate con l indicazione sui punti del Syllabus ECDL da approfondire per poter rispondere correttamente; di ottenere un report con informazioni sulle simulazioni svolte (punteggio ottenuto, tempo impiegato, percentuale realizzata ecc.) consentendo un monitoraggio dei progressi fatti in ogni modulo nelle diverse simulazioni eseguite. Le simulazioni così proposte permettono di integrare la preparazione agli esami ECDL in una dimensione realistica e completa e di testare i contenuti appresi in modo autonomo e immediato. Sempre attraverso il Simulatore, è possibile accedere a ulteriori esercizi interattivi e operativi, suddivisi in base alle sezioni definite dal Syllabus in ciascun modulo. Nella versione digitale del volume ebook+, per collegarsi direttamente al link d accesso al Simulatore, cliccare sull icona. Dall ebook+ è anche possibile fruire del modulo in espansione digitale Using Databases, cliccando sull icona. Sul sito ( ), dal link Attività, sono inoltre disponibili i seguenti materiali: le cartelle contenenti i file richiamati in PROCEDURA ed ESERCIZIO DI CONSOLIDA- MENTO; le soluzioni dei test e degli esercizi proposti nelle schede ESERCIZIO DI CONSOLIDAMEN- TO di ciascun modulo; un ricco Glossario con l elenco dei termini informatici riguardanti argomenti trattati nei moduli; il Syllabus ECDL dei moduli trattati nel volume. IX

12 L OFFERTA DIDATTICA HOEPLI L edizione Openschool Hoepli offre a docenti e studenti tutte le potenzialità di Openschool Network (ON), il nuovo sistema integrato di contenuti e servizi per l apprendimento. Edizione OPENSCHOOL LIBRO DI TESTO ebook+ RISORSE ONLINE PIATTAFORMA DIDATTICA Il libro di testo è l elemento cardine dell offerta formativa, uno strumento didattico agile e completo, utilizzabile autonomamente o in combinazione con il ricco corredo digitale offine e online. Secondo le più recenti indicazioni ministeriali, volume cartaceo e apparati digitali sono integrati in un unico percorso didattico. Le espansioni accessibili attraverso l ebook+ e i materiali integrativi disponibili nel sito dell editore sono puntualmente richiamati nel testo tramite apposite icone. L ebook+ è la versione digitale e interattiva del libro di testo, utilizzabile su tablet, LIM e computer. Aiuta a comprendere e ad approfondire i contenuti, rendendo l apprendimento più attivo e coinvolgente. Consente di leggere, annotare, sottolineare, effettuare ricerche e accedere direttamente alle numerose risorse digitali integrative. Scaricare l ebook+ è molto semplice. È suffciente seguire le istruzioni riportate nell ultima pagina di questo volume. Il sito della casa editrice offre una ricca dotazione di risorse digitali per l approfondimento e l aggiornamento. Nella pagina web dedicata al testo è disponibile MyBookBox, il contenitore virtuale che raccoglie i materiali integrativi che accompagnano l opera. Per accedere ai materiali è suffciente registrarsi al sito e inserire il codice coupon che si trova nella terza pagina di copertina. Per il docente nel sito sono previste ulteriori risorse didattiche dedicate. La piattaforma didattica è un ambiente digitale che può essere utilizzato in modo duttile, a misura delle esigenze della classe e degli studenti. Permette in particolare di condividere contenuti ed esercizi e di partecipare a classi virtuali. Ogni attività svolta viene salvata sul cloud e rimane sempre disponibile e aggiornata. La piattaforma consente inoltre di consultare la versione online degli ebook+ presenti nella propria libreria. È possibile accedere alla piattaforma attraverso il sito

13 Su è presente il link di accesso a esercitazioni per ogni sezione del Modulo 5 e simulazioni della prova d esame con il simulatore Maxisoft. 5 IT SECURITY (SC) 1 Concetti di sicurezza 2 Malware 3 Sicurezza in rete 4 Uso sicuro del web 5 Comunicazioni 6 Gestione sicura dei dati SCOPI DEL MODULO Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l uso sicuro dell ICT nelle attività quotidiane e per utilizzare tecniche e applicazioni rilevanti che consentono di gestire una connessione di rete sicura, usare Internet in modo sicuro e senza rischi e gestire in modo adeguato dati e informazioni. Il candidato deve essere in grado di: comprendere i concetti fondamentali relativi all importanza di rendere sicure informazioni e dati, di assicurare protezione fisica e privacy, e di difendersi dal furto di identità; proteggere un computer, un dispositivo o una rete da malware e da accessi non autorizzati; comprendere i tipi di reti, i tipi di connessioni e le problematiche specifiche alle reti, firewall inclusi; navigare nel World Wide Web e comunicare in modo sicuro su Internet; comprendere i problemi di sicurezza associati alle comunicazioni, inclusa la posta elettronica e la messaggistica istantanea; effettuare copie di sicurezza e ripristinare i dati in modo corretto e sicuro, ed eliminare dati e dispositivi in modo sicuro. Il seguente Syllabus fornisce i fondamenti per sostenere il test di tipo teorico e pratico relativo a questo modulo.

14 SYLLABUS IT Security SEZIONE TEMA ARGOMENTO PAG 1 Concetti 1.1 Minacce ai dati di sicurezza Distinguere tra dati e informazioni Comprendere il termine crimine informatico Comprendere la differenza tra hacking, cracking e hacking etico Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto Riconoscere le minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne Valore delle informazioni Comprendere i motivi per proteggere le informazioni personali, quali evitare il furto di identità o le frodi Comprendere i motivi per proteggere informazioni commercialmente sensibili, quali prevenzione di furti, di uso improprio dei dati dei clienti o di informazioni finanziarie Identificare le misure per prevenire accessi non autorizzati ai dati, quali cifratura, password Comprendere le caratteristiche fondamentali della sicurezza delle informazioni, quali confidenzialità, integrità, disponibilità Identificare i requisiti principali per la protezione, conservazione e controllo di dati/privacy che si applicano in Italia Comprendere l importanza di creare e attenersi a linee guida e politiche per l uso dell ICT Sicurezza personale Comprendere il termine ingegneria sociale e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a sistemi informatici Identificare i metodi applicati dall ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di carpire informazioni personali Comprendere il termine furto di identità e le sue implicazioni personali, finanziarie, lavorative, legali Identificare i metodi applicati per il furto di identità, quali acquisire informazioni a partire da oggetti e informazioni scartati, fingendosi qualcun altro o mediante skimming Sicurezza dei file Comprendere l effetto di attivare/disattivare le impostazioni di sicurezza delle macro Impostare una password per file quali documenti, file compressi, fogli di calcolo Comprendere i vantaggi e i limiti della cifratura Malware 2.1 Definizione e funzione Comprendere il termine malware Riconoscere diversi modi con cui il malware si può nascondere, quali trojan, rootkit e backdoor Tipi Riconoscere i tipi di malware infettivo e comprendere come funzionano, ad esempio virus e worm Riconoscere i tipi di malware usati per furto di dati, profitto/estorsione e comprendere come operano, ad esempio adware, spyware, botnet, keylogger e dialer Protezione Comprendere come funziona il software anti-virus e quali limitazioni presenta Eseguire scansioni di specifiche unità, cartelle, file usando un software anti-virus. Pianificare scansioni usando un software anti-virus Comprendere il termine quarantena e l operazione di mettere in quarantena file infetti/sospetti Comprendere l importanza di scaricare e installare aggiornamenti di software, file di definizione di antivirus Sicurezza in rete 3.1 Reti Comprendere il termine rete e riconoscere i più comuni tipi di rete, quali LAN (rete locale), WAN (rete geografica), VPN (rete privata virtuale). 28 2

15 SYLLABUS IT Security SEZIONE TEMA ARGOMENTO PAG Comprendere il ruolo dell amministratore di rete nella gestione delle operazioni di autenticazione, autorizzazione e assegnazione degli account all interno di una rete Comprendere la funzione e i limiti di un firewall Connessioni di rete Riconoscere le possibilità di connessione ad una rete mediante cavo o wireless Comprendere che la connessione ad una rete ha implicazioni di sicurezza, quali malware, accessi non autorizzati ai dati, mantenimento della privacy Sicurezza su reti wireless Riconoscere l importanza di richiedere una password per proteggere gli accessi a reti wireless Riconoscere diversi tipi di sicurezza per reti wireless, quali WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access), MAC (Media Access Control) Essere consapevoli che usando una rete wireless non protetta si rischia che i propri dati vengano intercettati da spie digitali Connettersi ad una rete wireless protetta/non protetta Controllo di accesso Comprendere lo scopo di un account di rete e come accedere alla rete usando un nome utente e una password Riconoscere buone politiche per la password, quali evitare di condividere le password, modificarle con regolarità, sceglierle di lunghezza adeguata e contenenti un numero accettabile di lettere, numeri e caratteri speciali Identificare le comuni tecniche di sicurezza biometriche usate per il controllo degli accessi, quali impronte digitali, scansione dell occhio Uso sicuro del web 4.1 Navigazione in rete Essere consapevoli che alcune attività in rete (acquisti, transazioni finanziarie) dovrebbero essere eseguite solo su pagine web sicure Identificare un sito web sicuro, ad esempio associato ad https, simbolo del lucchetto Essere consapevoli del pharming Comprendere il termine certificato digitale. Convalidare un certificato digitale Comprendere il termine one-time password Selezionare impostazioni adeguate per attivare, disattivare il completamento automatico, il salvataggio automatico quando si compila un modulo Comprendere il termine cookie Selezionare impostazioni adeguate per consentire, bloccare i cookie Eliminare dati privati da un browser, quali cronologia di navigazione, file temporanei di internet, password, cookie, dati per il completamento automatico Comprendere lo scopo, la funzione e i tipi di software per il controllo del contenuto, quali software per il filtraggio di internet, software di controllo genitori Reti sociali Comprendere l importanza di non divulgare informazioni riservate su siti di reti sociali Essere consapevoli della necessità di applicare impostazioni adeguate per la privacy del proprio account su una rete sociale Comprendere i rischi potenziali durante l uso di siti di reti sociali, quali cyberbullismo, adescamento, informazioni fuorvianti/pericolose, false identità, link o messaggi fraudolenti Comunicazioni 5.1 Posta elettronica Comprendere lo scopo di cifrare, decifrare un messaggio di posta elettronica Comprendere il termine firma digitale Creare e aggiungere una firma digitale

16 SYLLABUS IT Security SEZIONE TEMA ARGOMENTO PAG Essere consapevoli della possibilità di ricevere messaggi fraudolenti e non richiesti Comprendere il termine phishing. Identificare le più comuni caratteristiche del phishing, quali uso del nome di aziende e persone autentiche, collegamenti a falsi siti web Essere consapevoli del rischio di infettare il computer con malware attraverso l apertura di un allegato contenente una macro o un file eseguibile Messaggistica istantanea Comprendere il termine messaggistica istantanea (IM) e i suoi usi Comprendere le vulnerabilità di sicurezza della messaggistica istantanea, quali malware, accesso da backdoor, accesso a file Riconoscere metodi per assicurare la confidenzialità durante l uso della messaggistica istantanea, quali cifratura, non divulgazione di informazioni importanti, limitazione di condivisione di file Gestione sicura dei dati 6.1 Messa in sicurezza e salvataggio di dati Riconoscere modi per assicurare la sicurezza fisica di dispositivi, quali registrare la collocazione e i dettagli degli apparati, usare cavi di sicurezza, controllare gli accessi Riconoscere l importanza di avere una procedura di copie di sicurezza per ovviare alla perdita di dati, di informazioni finanziarie, di segnalibri/cronologia web Identificare le caratteristiche di una procedura di copie di sicurezza, quali regolarità/frequenza, pianificazione, collocazione della memoria di massa Effettuare la copia di sicurezza di dati Ripristinare e validare i dati sottoposti a copia di sicurezza Distruzione sicura Comprendere il motivo per eliminare in modo permanente i dati dalle memorie di massa o dai dispositivi Distinguere tra cancellare i dati e distruggerli in modo permanente Identificare i metodi più comuni per distruggere i dati in modo permanente, quali uso di trita documenti, distruzione di memorie di massa/dispositivi, smagnetizzazione, uso di utilità per la cancellazione definitiva dei dati IMPORTANTE! Durante la prova d esame, il candidato non deve mai utilizzare alcuna combinazione di tasti (scorciatoie in alternativa all uso del mouse, talvolta indicate nelle Procedure), in particolare le combinazioni: Ctrl + Alt + Canc, Alt + F4, Shift + Tab, Alt + Tab, Ctrl + C, Ctrl + X, Ctrl + V. Non è ammesso neppure l uso dei tasti funzione, per esempio F1 per consultare l Help in linea. 4

17 1 CLIPPY Le informazioni han - no un valore che dipende dal soggetto che le possiede e dal contesto in cui sono inserite. Per un azienda, p. es., informazioni di valore possono essere progetti di produzione o formule segrete di un prodotto, ma anche l anagrafica dei dipendenti. Poiché la diffusione dei servizi Internet espone le informazioni al rischio di essere intercettate da malintenzionati, è buona norma proteggerle con strumenti idonei (controllo dell accesso con password, cifratura dei dati). CONCETTI DI SICUREZZA 1 Concetti di sicurezza In questa sezione illustreremo i concetti di base della sicurezza informatica, descrivendo le minacce a cui sono sottoposti dati, informazioni, file e persone fisiche, soprattutto attraverso l utilizzo di Internet e dei suoi servizi. Relativamente a tali minacce, che possono derivare sia da fattori naturali (fuoco, inondazione, guerra, terremoto) sia da fattori umani (tecniche di ingegneria sociale quale hacking, cracking, phishing, shoulder surfing, furto d identità, file veicoli di codice maligno ecc.) descriveremo le misure di prevenzione e gli strumenti di protezione da adottare per preservare dati e informazioni personali (backup, utilizzo di password, cifratura, ecc.). Analizzeremo quindi: gli aspetti della sicurezza informatica legati ai dati, focalizzando la nostra attenzione sulle comuni minacce a cui essi sono soggetti; i problemi legati alla sicurezza delle informazioni che, come vedremo, derivano da una contestualizzazione dei dati; gli aspetti della sicurezza informatica legati alla sicurezza personale, cercando di capire quali sono le principali minacce da cui difendersi; gli aspetti della sicurezza legati ai file MINACCE AI DATI Distinguere tra dati e informazioni CLIPPY Comunemente i termini dati e informazioni sono utilizzati come sinonimi per riferirsi ad una stessa cosa, ma in informatica i due termini hanno un significato diverso e ben preciso. Per dato si intende un qualsiasi oggetto conosciuto che può essere memorizzato in formati digitali diversi. In questo senso i dati possono essere quindi espressi sotto forma di numeri, testo, suoni o immagini. Con il termine informazione ci si riferisce, invece, al risultato di una qualche elaborazione dei dati ai quali si attribuisce, in questo modo, un significato specifico a seconda del contesto. Dati e informazioni sono quindi due elementi profondamente diversi e i dati, di per sé, costituiscono la memorizzazione. Per comprendere la differenza fra i due termini, possiamo immaginare di aver memorizzato i seguenti dati, uno in formato numerico e uno in formato testo: active-b Di per sé questi dati potrebbero rappresentare qualsiasi cosa: il dato numerico potrebbe essere, per esempio, un numero di conto corrente, il numero di visite di un sito web o il codice di un prodotto, mentre la stringa di testo potrebbe essere il nome di un computer, potrebbe indicare lo stato di un server o di un servizio o, ancora, il 5

18 MODULO 5 IT Security nome di un utente. I dati, al loro stato grezzo, mancano di significato o, in altri termini, non forniscono informazioni utili. Se proviamo adesso a contestualizzare i dati nel modo seguente: username = password = active-b otteniamo invece due informazioni ben precise: il numero indica uno username, mentre la stringa di testo indica la password associata a quello username. Appare quindi chiaro come dati e informazioni siano, nella realtà, due soggetti distinti e, come vedremo in seguito, necessitino di strumenti di protezione specifici Comprendere il termine crimine informatico Per crimine informatico si intende una qualsiasi attività criminale perseguita utilizzando la tecnologia dell informazione, sia in ambito hardware che in ambito software. CLIPPY DoS è la sigla di Denial of Service ( negazione del servizio ), con cui si indica un tipo di attacco informatico tramite il quale si blocca un computer o un sistema informatico che fornisce un certo servizio, per esempio un sito Web. In questo particolare tipo di crimini, le tecnologie ICT sono utilizzate come mezzo di attuazione di molte attività illegali e costituiscono una delle principali minacce alla sicurezza dei dati, come per esempio: accesso non autorizzato ai dati; cancellazione e alterazione dei dati; deterioramento e manomissione dei supporti fisici di memorizzazione; intercettazione dei dati in transito in una rete informatica. Oltre a questo, i crimini informatici comprendono altre attività, come, per esempio, il furto di identità, l interruzione di servizio ( DoS ) e le frodi elettroniche che, come vedremo, coinvolgono aspetti legati alla sicurezza delle informazioni Comprendere la differenza tra hacking, cracking e hacking etico Nell ambito della sicurezza informatica capita di frequente di imbattersi nei termini hacking e cracking. Questi due termini, seppur con significati e intenzioni diversi, indicano un insieme di attività che coinvolgono aspetti legati alla sicurezza dei dati di un sistema informatico. Per comprendere il grado di minaccia espresso da queste attività occorre innanzi tutto chiarire il significato dei due termini. Nell immaginario collettivo, il termine hacking è legato a doppio filo con l informatica e, generalmente, indica una qualche attività illecita volta ad accedere a dati riservati. In realtà, il termine hacking, nella sua definizione più generale, non fa riferimento solo all insieme delle tecnologie informatiche, ma indica un processo per cui si fa uso della propria immaginazione e della propria creatività per risolvere un problema o una

19 1 Concetti di sicurezza qualche questione complessa, con lo scopo di accrescere la conoscenza dell uomo nel suo insieme. Il termine deriva dal verbo inglese to hack, che letteralmente significa intaccare e, alla luce di quanto detto sopra, possiamo tradurlo con l espressione intaccare un problema un po alla volta, fino ad arrivare alla sua risoluzione. In ambito informatico, questo processo si può trasporre nell attività di acquisire una profonda e dettagliata conoscenza di un sistema (o anche di un applicazione), in modo da poterla adattare alle proprie esigenze, contribuendo ad una crescita globale della conoscenza nel campo dell ICT. L hacking e colui che lo pratica (l hacker) non sono quindi da considerarsi necessariamente criminosi. Per convincersi di ciò, basta pensare che esistono molte attività di hacking svolte a livello professionale e perfettamente legali, che attraverso specifici test permettono di testare la robustezza e l efficienza di un sistema informatico e di evidenziarne eventuali vulnerabilità. A queste specifiche attività ci si riferisce solitamente con il termine hacking etico. Il termine cracking deriva invece dal verbo inglese to crack, rompere, e in ambito informatico indica un insieme di attività volte a manomettere o danneggiare un sistema informatico, allo scopo di ottenere accesso a dati riservati o ad applicazioni. L attività di cracking è quindi di per sé un attività criminosa o comunque fraudolenta, e può essere vista come la trasposizione in negativo dell hacking, in quanto ne utilizza metodologie e tecniche. Una descrizione sintetica del significato dei termini appena illustrati in ambito prettamente informatico è riportata nella tabella sottostante. (Hacking Hacking etico Cracking Insieme delle attività volte ad acquisire una profonda e dettagliata conoscenza di un sistema informatico (o di un applicazione) in modo da poterlo adattare alle proprie esigenze. Insieme delle attività di hacking, svolte anche livello professionale, che permettono, attraverso specifici test, di verificare la robustezza e l efficienza di un sistema informatico e di evidenziarne eventuali vulnerabilità. Insieme delle attività volte a manomettere o danneggiare un sistema informatico per accedere a dati riservati o ad applicazioni Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto Fino ad ora abbiamo considerato diverse tipologie di minacce ai dati direttamente legate alle tecnologie ICT. Esistono però anche altri tipi di minacce, non direttamente collegate all informatica, ma provocate da forza maggiore, che occorre tenere comunque in considerazione in quanto hanno un notevole impatto sulla sicurezza dei dati. Le minacce causate da forza maggiore sono quelle che dipendono direttamente dall ambiente e includono eventi catastrofici come inondazioni, incendi, terremoti o guerra. 7

20 MODULO 5 IT Security In tutti questi casi la minaccia ai dati è evidente in quanto la portata catastrofica dell evento può distruggere irrimediabilmente dati e supporti di memorizzazione e senza opportuni accorgimenti non è possibile in alcun modo recuperare tutti i dati. Maggiore è la portata della catastrofe maggiore sarà l irreversibilità del danno. La protezione da minacce da forza maggiore può essere messa in atto: tramite installazione di infrastrutture in zone geografiche ragionevolmente sicure, possibilmente distanti da zone sismiche e al riparo dalle inondazioni; tramite predisposizione di impianti antincendio e realizzazione di impianti elettrici e di collegamento secondo gli standard di sicurezza; effettuando periodicamente il backup dei dati in relazione alle proprie necessità. Questi accorgimenti non possono garantire una sicurezza assoluta o un riparo completo da minacce causate da forza maggiore in caso di fenomeni particolarmente straordinari, ma sono sicuramente efficaci in fenomeni di portata più comune Riconoscere le minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne Il fattore umano rappresenta un tipo di minaccia ai dati che viene generalmente sottovalutato, almeno sotto certi aspetti, ma costituisce una delle minacce ai dati più diffuse e impossibili da escludere a priori. La minaccia del fattore umano è, per esempio, costituita da impiegati, fornitori di servizi o persone esterne ad un organizzazione che in maniera anche non deliberata possono compiere azioni nocive alla sicurezza informatica. Un dipendente potrebbe, per esempio, rivelare informazioni riservate inconsapevolmente e in buona fede o rivelare i propri codici di accesso, mentre fornitori di servizi o soggetti esterni potrebbero tentare di carpire informazioni riservate ed utilizzarle a danno dell azienda o dell organizzazione o anche di un soggetto privato. In ogni caso, è sempre di fondamentale importanza ricordare che il fattore umano non è mai escludibile a priori e può avere conseguenze molto spiacevoli VALORE DELLE INFORMAZIONI Comprendere i motivi per proteggere le informazioni personali, quali evitare il furto di identità o le frodi 8 Le informazioni personali comprendono tutte quelle informazioni legate a una persona fisica che ne permettono l identificazione e che possono fornire ulteriori informazioni sulle sue abitudini, le sue convinzioni politiche o religiose, lo stile di vita, lo stato di salute, le relazioni personali o la situazione economica. In buona sostanza possiamo dire che le informazioni personali includono tutte quelle informazioni che riguardano la privacy di un soggetto.

21 CLIPPY Benché esistano diversi metodi e tecnologie informatiche per proteggere le informazioni personali, la pri - ma buona pratica per proteggere informazioni riservate è quella di conservarle con cura e di limitarne la diffusione sui social network ai limiti strettamente indispensabili. 1 Concetti di sicurezza Come vedremo al punto 1.2.5, la tutela della privacy di un soggetto è regolata da uno specifico codice (Testo unico sulla privacy) ed è su supervisionata da una apposita Istituzione Pubblica Indipendente, il cosiddetto garante per la privacy. Sul sito Web del garante della privacy ( è riportata la definizione ufficiale di dati personali che citiamo testualmente: Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Particolarmente importanti sono: i dati identificativi: quelli che permettono l identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.; i dati sensibili: quelli che possono rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale; i dati giudiziari: quelli che possono rivelare l esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il furto di informazioni personali, proprio per la natura stessa di queste ultime, può avere conseguenze molto spiacevoli e per questo motivo è necessario avere cura di proteggerle per evitare frodi e, come vedremo al punto 1.3.3, furti di identità Comprendere i motivi per proteggere informazioni commercialmente sensibili, quali prevenzione di furti, di uso improprio dei dati dei clienti o di informazioni finanziarie Le informazioni commercialmente sensibili comprendono tutte quelle informazioni che riguardano aspetti prettamente legati al commercio e allo scambio di denaro. Sono informazioni commercialmente sensibili i numeri di carte di credito, i numeri di partita IVA o codice fiscale, numeri di conto corrente e dati di fatturazione. L accesso non autorizzato a questo tipo di informazioni può avere diverse conseguenze, come per esempio: furti di denaro direttamente da conti correnti bancari o tramite addebito su carte di credito; utilizzo improprio dei dati dei clienti; utilizzo improprio e diffusione di informazioni finanziarie riservate. Ancora una volta, il primo consiglio è quello di essere estremamente prudenti e di non divulgare questo tipo di informazioni in contesti non adeguati, e prestare sempre attenzione al fattore umano. 9

22 MODULO 5 IT Security Identificare le misure per prevenire accessi non autorizzati ai dati, quali cifratura, password CLIPPY È bene chiarire che, vis to le differenze sostanziali esistenti fra i vari metodi, utiliz - zare l uno o l altro dovrebbe sempre derivare da un attenta analisi del bene da proteggere. Uno degli aspetti della sicurezza consiste nell autenticazione dei soggetti che utilizzano i sistemi informatici in modo da consentire l accesso a dati e informazioni ai soli soggetti autorizzati. Per un qualsiasi soggetto, l autenticazione consiste quindi nell atto di dimostrare la propria identità. I metodi a disposizione ricadono all interno della seguente casistica: il soggetto possiede qualcosa: chiavi di cifratura, chiavi hardware o smart card; il soggetto conosce qualcosa: password o PIN; il soggetto ha una determinata caratteristica fisica: caratteristiche biometriche. Utilizzando la protezione tramite password si limita l accesso ai dati ai soli utenti che ne sono a conoscenza, mentre l utilizzo della cifratura rende i dati comprensibili ai soli soggetti che dispongono delle opportune chiavi di decodifica (chiavi di cifratura). Le rilevazioni biometriche, infine, garantiscono che solo determinate persone possano accedere fisicamente ai dispositivi dove i dati sono memorizzati Comprendere le caratteristiche fondamentali della sicurezza delle informazioni, quali confidenzialità, integrità, disponibilità Le caratteristiche fondamentali della sicurezza delle informazioni che occorre preservare sono sostanzialmente tre. Le analizziamo di seguito. Confidenzialità: prevenzione dell accesso alle informazioni da parte di chi non sia autorizzato. Informazioni, non necessariamente dati (Mario Rossi, ). Integrità: tutela dall alterazione dei dati, informazioni o risorse informatiche da parte di non autorizzati. Nei dati è compreso anche il software. Nelle risorse informatiche è compresa anche la configurazione di un sistema. Disponibilità: la prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto, quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, come per esempio la banda di trasmissione di un collegamento, la capacità di calcolo di un elaboratore o lo spazio utile di memorizzazione dati, ecc. Come vedremo in seguito, i vari strumenti disponibili nel campo della sicurezza IT offrono funzionalità diverse che magari preservano solamente una delle tre proprietà, ma l utilizzo di questi strumenti nel loro complesso permette di rispettare tutte le caratteristiche fondamentali della sicurezza delle informazioni Identificare i requisiti principali per la protezione, conservazione e controllo di dati/privacy che si applicano in Italia Il decreto legislativo n. 196/2003 (il cosiddetto Testo unico sulla privacy ) stabili- 10

23 CLIPPY A livello europeo è stata varata un apposita legge per la protezione e la tutela dei dati online, conosciuta come 1995 European Data Protection Directive. 1 Concetti di sicurezza sce le regole generali per il trattamento e la protezione dei dati personali definendone i requisiti e le modalità con cui avviene il trattamento. Secondo il Testo unico sulla privacy, per trattamento si intende una qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Per garantire un corretto trattamento dei dati, il codice della privacy stabilisce: quando è possibile autorizzare la gestione dei dati personali; le misure di sicurezza da adottare e gli eventuali codici deontologici da osservare; i tipi di dati trattabili e, per ciascun tipo, le operazioni eseguibili per ciascuna delle attività previste. Il codice inoltre assicura opportune garanzie a tutti i soggetti che concedono informazioni e dati personali in ordine al trattamento degli stessi da parte degli operatori dell Amministrazione Pubblica, di Enti privati e di altri soggetti che per loro li trattino. In base alla normativa sulla privacy di cui agli artt. 20, comma 2, e 21, comma 2, del d.lg. 30 giugno 2003, n. 196, i sistemi informatici e i software applicativi devono essere progettati in modo da garantire che l utilizzo dei dati sensibili (o comunque personali) avvenga esclusivamente nella misura necessaria per il raggiungimento delle specifiche finalità che il titolare si prefigge (elencate negli artt. 59, 60, 62-73, 86, 95, 98 e 112). In caso contrario, sarà necessario utilizzare i dati raccolti in forma anonima o attraverso sistemi che permettano di identificare l interessato solo in caso di stretta necessità. L art. 11 stabilisce le modalità del trattamento e i requisiti dei dati, che devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l identificazione dell interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Per garantire i requisiti dei dati, il titolare del trattamento, unitamente al responsabile dei sistemi informativi, deve adottare opportune procedure organizzative e informatiche che regolino l accesso alle banche dati. Al singolo operatore, quindi, sarà consentito l accesso solamente ai dati strettamente necessari alle sue specifiche mansioni. 11

24 MODULO 5 IT Security Comprendere l importanza di creare e attenersi a linee guida e politiche per l uso dell ICT CLIPPY Per ottenere i risultati attesi, è di fondamentale importanza attenersi alle politiche e alle linee guida stabilite. Nell utilizzare le tecnologie ICT è molto importante definire le politiche per il loro utilizzo e creare e rispettare linee guida specifiche che regolino il comportamento degli utenti utilizzatori delle risorse. La definizione di comportamenti e procedure di sicurezza uniformi permette la semplificazione delle operazioni di gestione dei sistemi e inoltre si possono controllare con maggior semplicità i comportamenti dei dipendenti. La definizione delle politiche ICT si snoda su tre livelli: politica di sicurezza aziendale, cioè come l azienda intende proteggere le informazioni, in modo il più possibile neutro rispetto alla tecnologia; politica di sicurezza per il sistema informatico, cioè come deve essere protetto il sistema informatico; politica di sicurezza tecnica, cioè cosa l azienda desidera proteggere. Nel rispetto delle politiche di sicurezza sono poi stabilite le linee guida per l uso delle risorse ITC definendo con precisione tutte le procedure necessarie ad un utilizzo coerente con le necessità dell azienda SICUREZZA PERSONALE Comprendere il termine ingegneria sociale e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a sistemi informatici CLIPPY L ingegneria sociale è un fenomeno piuttosto recente ed è una diretta conseguenza dello sviluppo delle tecnologie ICT, che hanno permesso la realizzazione di sistemi sempre più performanti sia dal punto di vista dell hardware che del software. Nel campo della sicurezza informatica, l ingegneria sociale può essere definita lo studio del comportamento del singolo individuo allo scopo di carpirne informazioni utili. Gli sviluppatori sono attualmente arrivati a creare applicazioni sempre più robuste e prive di errori di programmazione (i cosiddetti bugs) e protette da sistemi di sicurezza efficienti. Questo fattore rende di conseguenza sempre più difficile e dispendioso bucare le applicazioni usando attacchi diretti (attacchi di cracking) e, per tale motivo, si preferisce tentare di raccogliere le informazioni necessarie per accedere ad un sistema mediante gli attacchi di ingegneria sociale. Le informazioni raccolte possono essere di varia natura, per esempio informazioni anagrafiche, numeri di conto corrente, codici segreti (PIN di carte di credito, dispositivi mobili o password) o chiavi di cifrature e la loro acquisizione da parte di soggetti malintenzionati porta a conseguenze molto spiacevoli, come frodi e accesso a sistemi informatici, reti private ma anche aree riservate sui siti di home banking. L ingegnere sociale (social engineering) opera seguendo un procedimento abbastanza standard che si articola sostanzialmente in tre fasi: raccolta delle informazioni (footprinting): in questa fase si raccolgo-

25 1 Concetti di sicurezza no le informazioni sul soggetto utilizzando apposite tecniche a seconda delle informazioni che il social engineering vuole carpire; verifica delle informazioni: si verifica la correttezza delle informazioni acquisite; utilizzo delle informazioni acquisite: il social engineering utilizza le informazioni acquisite per gli scopi che si era prefisso. Al punto esamineremo i metodi comunemente utilizzati dall ingegneria sociale per carpire informazioni utilizzando strumenti informatici ma, per completezza, è bene ricordare che l ingegneria sociale non limita il suo raggio d azione al campo delle tecnologie ICT, includendo anche aree più tradizionali che presuppongono il contatto diretto con il soggetto, tramite truffe telefoniche o, come avviene nella vendita porta a porta, tramite la sottoscrizione di contratti fraudolenti per conto di società di fornitura di servizi telefonici o di servizi legati all erogazione di forniture energetiche. In questi casi, il social engineering studia le abitudini di particolari classi di soggetti, come per esempio persone anziane che vivono da sole o soggetti che, per altri motivi, sono considerati facilmente attaccabili Identificare i metodi applicati dall ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di carpire informazioni personali Il social engineering utilizza principalmente tre metodi per carpire le informazioni a cui è interessato, e cioè le chiamate telefoniche, il phishing e il cosidetto shoulder surfing. Ognuno dei tre metodi si propone il medesimo obiettivo: ottenere i codici segreti del soggetto per l utilizzo di carte elettroniche (bancomat e carte di credito) o per l accesso ad aree private su siti web di home banking, social network e caselle di posta elettronica. Nel primo caso (chiamate telefoniche), il soggetto viene contattato telefonicamente e persuaso a fornire i dati identificativi a cui il social engineering è interessato. La tecnica del phishing, invece, consiste nell utilizzare la posta elettronica per indirizzare la vittima su siti fasulli con lo stesso aspetto grafico dei siti originali con cui l utente è abituato a interagire. Tipicamente si tratta di siti di home banking o siti legati allo scambio elettronico di denaro. La vittima riceve una mail in cui si chiede di accedere al sito per resettare la password e si indica il link per effettuare l accesso. Il link indirizza l utente sul sito fasullo e nel momento in cui l utente tenta di effettuare l accesso inserendo lo username e la password le informazioni inserite vengono registrate dal social engineering ed utilizzate per violare l account dell utente. Lo shoulder surfing, infine, consiste nello spiare un utente durante le sua attività, cercando di carpire le informazioni a cui si è interessati. Spesso questo metodo viene utilizzato in luoghi molto frequentati, come per esempio internet cafè o zone in cui sono presenti hot spot. Mentre la vittima digita la propria password, il malintenzionato tenta di impossessarsi dei codici inseriti spiandola da vicino o utilizzando strumenti più discreti come lenti e telecamerea circuito chiuso. 13