Dott. Alessandro Rodolfi Università degli Studi di Milano
1 Le politiche di sicurezza sono disposizioni adottate al fine di garantire la sicurezza del proprio sistema informativo e definire l utilizzo degli strumenti informatici. Possono essere utili anche per una sorta di educazione del soggetto all uso del computer.
2 Mantenimento di livelli accettabili di rischio in relazione alla compromissione dei requisiti di riservatezza, integrità e disponibilità dei dati. Riservatezza: l informazione deve essere accessibile solo a chi è autorizzato a conoscerla. L Integrità: l informazioni deve essere trattata in modo che siano difese da modifiche non autorizzate. Disponibilità: l informazione sia sempre disponibile alle persone autorizzate quando necessario.
3 Quali sono le norme di possibile riferimento? Codice Privacy Diritto d autore (L. 633 del 1941) Crimini informatici
4 Quali priorità aziendali non correlate ad obblighi di carattere normativo? Utilizzo corretto delle risorse informatiche Evitare comportamenti che possano distrarre il lavoratore o limitare la sua produttività (si veda la guerra Brunetta vs. Facebook e simili ).
5 Il contenuto delle security policies Funzione emittente (owner) Ambito di applicazione Destinatari (specifiche funzioni) Modalità di diffusione (generalizzata o circoscritta) Data di entrata in vigore Riferimenti a leggi e norma collegate Eventuali sanzioni (es. Contratti di lavoro)
6 Policy per l utilizzo del computer proprietà dell organizzazione e finalità lavorative buone norme di utilizzo responsabile utilizzo del computer fisso solo in orari di servizio previsione di tempestiva segnalazione in caso di furto divieto di installazione di software non autorizzato divieto di modifica non autorizzata delle configurazioni del computer fornito regole per i supporti magnetici (divieto di scariare files da supporti esterni se non autorizzati) stabilire corretti criteri di autenticazione informatica e sensibilizzare gli utenti Antivirus e back up dei dati
7 Policy per il corretto utilizzo della rete informatica accesso consentito secondo le autorizzazioni acquisite Attenzione all utilizzo per scopi non consentiti dalle normative vigenti occupazione di banda elevata Precise regole per la navigazione in internet
8 Policy per il corretto utilizzo della posta elettronica esplicitare che l e mail èaziendale filtri aziendali sule comunicazioni in entrata e uscita per prevenire attività illecite utilizzo per finalità lavorative attenzione al traffico di rete e al dispendio delle risorse attenzione ai virus avvertire delle vulnerabilità dei protocolli di trasmissione vietare l e mail aziendale per partecipare a foum, mailing list ecc. netiquette
9 Posta elettronica e internet: le policies del Garante Privacy Motivazione dell adozione per cui si rende necessaria l applicazione Scopo Oggetto e ambito applicativo (perimetro) Definizione ruoli e responsabilità Gradualità nei controlli Conseguenze in caso di violazione delle policy
10 Esempi di security policies si sicurezza organizzativa Chiara definizione delle responsabilità Accordi di riservatezza e di non divulgazione inseriti nei contratti Principio del need to know (correlazione accesso e esigenze lavorative) Autorizzazione minima (è vietato tutto quello che non è espressamente autorizzato) Ridondanza delle risorse umane (frodi) Separazione dei ruoli (segragation of duty) Controllo duale (four eyes) da parte di almeno due soggetti per lo svolgimento di particolari operazioni Screen saver policy e clean desk policy Disciplinari interni e formazione
11 Security policies e modelli esimenti per i crimini informatici previsti dal D.Lgs. n. 231/2001 Analisi dei rischi Sicurezza dei processi informativi, implementando security policy adeguate e realmente rispettate Attività di auditing e test di sicurezza informatica sulle reti tlc e sui sistemi it (attività di ethical hacking come Vulnerability Assessment e Penetration Testing) Monitoraggio dell utilizzo delle risorse (Log Management)
12 Per un applicazione efficace Forte impegno (committment) da parte dell organizzazione È parimenti fondamentale stabilire i ruoli e le responsabilità relative sicurezza delle informazioni Formazione: tutto il personale deve essere reso consapevole delle proprie responsabilità, anche giuridiche, derivanti da violazioni di leggi e regolamenti, frodi o dall utilizzo improprio delle risorse informative messe a disposizione dell organizzazione
Autori di queste slides: Prof. Avv. Giovanni Ziccardi, Università degli Studi di Milano; Hanno collaborato al lavoro preparatorio: Avv. Pierluigi Perri; Avv. Matteo Giacomo Jori; Dott.ssa Claudia Aquila; Dott. Simone Bonavita; Dott.ssa Claudia Del Re; Dott.ssa Daniela Quetti; Dott. Alessandro Rodolfi; Dott. Guglielmo Troiano; Dott. Valentin Vitkov. E mail: infogiure@mac.com