La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows. Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.

La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.it

Legge 196/03: principi base E il D.Lgs. n 196 del 30 giugno 2003 Riunisce in un Testo Unico le precedenti leggi sulla Privacy (L. 675/96, DPR 318/99) Garantisce diritti e libertà fondamentali, la dignità dell interessato e la protezione dei dati personali, al passo con le tecnologie correnti. Chiunque ha diritto alla protezione dei dati personali che lo riguardano (art.1) Chiunque tratta dati personali è tenuto a rispettare gli obblighi previsti dal Testo Unico : Aziende, Imprese, Ditte, Professionisti, Enti Pubblici, Scuole, Organizzazioni ed esercenti le professioni Sanitarie, Banche, Assicurazioni, Pubblica Amministrazione, Uffici Giudiziari ed esercenti le professioni Giudiziarie, e altre categorie ancora Devono essere protetti, in particolare : Dati Personali, Dati Identificativi, Dati Giudiziari, Dati Sensibili

Legge 196/03: principi base I dati devono essere : Completi, aggiornati e non eccedenti rispetto agli scopi Raccolti, registrati e conservati secondo gli scopi Trattati in modo lecito e corretto Trattati per un periodo di tempo non superiore a quello necessario agli scopi Il fine è ridurre al minimo le fonti di rischio e garantire la massima integrità, riservatezza, disponibilità ed aggiornamento delle informazioni Devono essere adottate idonee e preventive misure di sicurezza per garantire la protezione delle informazioni Le misure di sicurezza rappresentano un processo globale, per l attuazione del quale sono richieste competenze specifiche ed attenzione diffusa

Disciplinare tecnico Sono state predisposte una serie di misure minime di sicurezza, individuate negli artt. 31-36 e nell Allegato B del T.U., obbligatorie per chi tratta i dati personali con strumenti elettronici : Autenticazione informatica Procedure di gestione delle credenziali di autenticazione (password, codici identificativi, certificati digitali, carte a microprocessore, caratteristiche biometriche) Sistema di autorizzazione informatica Protezione dei sistemi dagli accessi non consentiti (protezione da virus, worm, trojans, accessi di persone non autorizzate) Aggiornamento dei sistemi con le ultime patch Procedure di backup e ripristino di dati e sistemi Tenuta del Documento Programmatico sulla Sicurezza (DPS) Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato di salute o la vita sessuale di individui)

Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dell azienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Eu a 60.000 Eu Omessa informativa all interessato Omessa notificazione al Garante Omessa esibizione di documenti al Garante Cessione impropria dei dati Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni Trattamento illecito dei dati personali Falsità delle dichiarazioni e notificazioni al Garante Omessa adozione delle misure minime di sicurezza Inosservanza dei provvedimenti del garante

Autenticazione informatica Procedimento con cui un individuo viene riconosciuto come tale In un sistema informatico possono esserci varie forme di autenticazione Ogni incaricato al trattamento dei dati deve essere munito di una o più credenziali di autenticazione : user-id + parola chiave (nome utente e password) dispositivo di autenticazione + eventuale codice o parola chiave (smart card, USB token o altro con codice annesso) Caratteristica biometrica + eventuale codice o parola chiave (impronta digitale, scansione iride o retina) Le credenziali di autenticazione sono individuali per ogni incaricato La parola chiave, se prevista, deve avere le seguenti caratteristiche: Lunga almeno 8 caratteri (o lunga il massimo consentito) Non contenere riferimenti agevolmente riconducibili all incaricato Modificata dall incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i dati trattati sono dati sensibili e/o giudiziari) L incaricato non può cedere le proprie credenziali ad altri Le credenziali vanno disattivate se non usate da almeno 6 mesi o se non si possono più ritenere riservate

Gestione credenziali Il Titolare deve impartire istruzioni chiare agli incaricati su : Come assicurare la segretezza delle credenziali di autenticazione Come custodire con diligenza i dispositivi in possesso Le modalità per non lasciare incustodito il proprio terminale di lavoro, durante una sessione di trattamento dei dati Inoltre il Titolare deve impartire istruzioni agli incaricati in merito : Alla modalità di accesso ai dati e agli strumenti elettronici, in caso di prolungata assenza o impedimento dell incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema Alla procedura da seguire nel caso in cui l incaricato sia irreperibile, oppure non sia più in possesso delle sue credenziali di autenticazione, e si renda nel frattempo necessario un intervento sui dati All organizzazione delle copie delle credenziali di autenticazione, l identificazione dei responsabili delle copie, e delle relative procedure da utilizzare nel caso queste debbano essere utilizzate

Sistema di autorizzazione Un sistema informatico, dopo aver autenticato una persona, cerca il suo Profilo di Autorizzazione, cioè l insieme delle informazioni associate ad una persona, che consente di individuare a quali dati essa può accedere e con quale modalità I profili di autorizzazione possono essere creati Per ciascun incaricato Per classi omogenee di incaricati Devono essere creati prima dell inizio del trattamento dei dati Devono periodicamente (almeno una volta l anno) essere verificati, per garantirne la continua coerenza Si possono NON applicare quando i dati trattati sono destinati alla diffusione pubblica

Protezione e aggiornamento Per l intero sistema informatico, rivedere e, se necessario, riorganizzare almeno annualmente gli ambiti di trattamento, la lista degli incaricati e i profili di autorizzazione Munirsi di procedure per il salvataggio dei dati, da effettuarsi almeno con cadenza settimanale Munirsi di procedure per l aggiornamento dei software di elaborazione, allo scopo di prevenire vulnerabilità e correggere difetti, da effettuarsi almeno con cadenza annuale (semestrale per dati sensibili e/o giudiziari) L aggiornamento di programmi Antivirus, Antispyware e Firewall deve essere eseguito non appena ne esiste uno disponibile I dati personali devono essere protetti dal rischio di intrusione, utilizzando opportuni strumenti elettronici Chiunque diffonde, comunica, consegna un programma informatico avente per scopo il danneggiamento, l interruzione o l alterazione di un sistema informatico, è punito con ammenda e reclusione

Dati sensibili e/o giudiziari Ulteriori misure di sicurezza : Prevedere tecniche di cifratura dei dati medesimi, sia quando memorizzati su supporti magnetici, che quando in trasferimento da un elaboratore all altro Impartire istruzioni precise su come trattare i supporti rimovibili (CD, DVD, Floppy) che contengono tali dati sensibili Tali supporti rimovibili devono essere distrutti se non utilizzati Se non distrutti, possono essere riutilizzati da altre persone non autorizzate al trattamento dei dati, SOLO SE questi sono stati resi non intelligibili o tecnicamente in alcun modo ricostruibili Prevedere procedure di ripristino dei dati al massimo entro 7 giorni, in caso di distruzione o danneggiamento degli stessi

DPS Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il Documento Programmatico della Sicurezza Deve essere citato nella relazione consuntiva del bilancio d esercizio Deve essere conservato per presentazione in occasione di controlli Deve contenere, al minimo : L elenco dei trattamenti di dati personali La distribuzione delle responsabilità nella struttura organizzativa in cui i dati vengono trattati L analisi dei rischi che incombono sui dati Le misure già in essere e da adottare per garantire l integrità e la disponibilità dei dati La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento La programmazione di eventi formativi per gli incaricati La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l elenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Per la corretta compilazione, eventualmente usare software applicativi o consultare www.garanteprivacy.it

Informazioni aggiuntive E facoltà del Titolare rivolgersi a consulenti esterni per rendere conforme la sua organizzazione al Testo Unico sulla Privacy Deve provvedere a farsi rilasciare una descrizione scritta di quali sono stati gli interventi che attestano la conformità alla normativa E prevista la possibilità per chi utilizza strumenti informatici obsoleti (che non consentono l applicazione delle misure minime di sicurezza secondo le modalità tecniche dell Allegato B), di descriverne le ragioni in un documento a data certa (non oltre il 31/12/2005) da conservare presso la struttura. In questo caso, il Titolare è comunque tenuto all aggiornamento dei propri strumenti informatici entro e non oltre il 31 marzo 2006

Soluzioni. Soluzioni adatte per le aziende che dispongono di almeno un server di rete e di un numero variabile di pc client La presenza del server di rete permette la centralizzazione di una serie di operazioni, quali autenticazione, backup, gestione patch, ecc.. In particolare, le ultime versioni dei sistemi operativi Microsoft (Windows XP, lato client, e Windows Server 2003, lato server) unitamente alla suite di Office 2003, offrono una serie di funzionalità che rende semplice adeguare il proprio sistema informativo alle misure minime Licenza Software Assurance per il continuo e immediato aggiornamento Firewall Hardware o Sistemi Linux Server

Autenticazione e autorizzazione Active Directory è la soluzione migliore e adatta ad azienda di ogni dimensione Utilizza sistemi di autenticazione standard (Kerberos, certificati X.509, smart card ) Gestione centralizzata dei profili utenti Facile gestione delle Liste di Controllo degli accessi per l impostazione delle autorizzazioni Protezione e gestione delle password (lunghezza min/max, scadenza, rinnovo, complessità ) Gestione della sicurezza anche dei client collegati Utilizzo di protocolli standard per l accesso ai dati (LDAP) Gestione dell accesso al software (non solo ai dati) con le Software Restriction Policy Possibilità di crittografia aumentate con Windows Server 2003 Supporto e protezione di tutti i protocolli di accesso alle informazioni utilizzati in Internet

Protezione da codici maligni (Microsoft ) ISA Server 2004 è il prodotto migliore per difenderci da virus, worm, trojans ed altri codici maligni E un firewall multilivello di classe Enterprise Esegue packet filtering, stateful filtering, application-layer filtering Controlla l accesso a Internet degli utenti Pubblica su Internet qualunque server interno Rileva comuni tentativi di attacco alla rete (IDS) Rende disponibile in maniera sicura la posta elettronica agli utenti esterni Connette in maniera sicura sedi distaccate Assicura un accesso più veloce al contenuto di Internet Gestisce in maniera sicura i dati lungo connessioni VPN La versione Enterprise fornisce anche caratteristiche di Load Balancing e centralizzazione delle policy, per una totale scalabilità anche per aziende molto grandi

Protezione da codici maligni (Open Source) Firewall Server Linux è un ottimo prodotto per difenderci da virus, worm, trojans ed altri codici maligni E un firewall multilivello di classe Enterprise Esegue packet filtering, stateful filtering, application-layer filtering Controlla l accesso a Internet degli utenti, se configurato correttamente Pubblica su Internet qualunque server interno tramite il Web Server Apache Rileva comuni tentativi di attacco alla rete (IDS) Rende disponibile in maniera sicura la posta elettronica agli utenti esterni Connette in maniera sicura sedi distaccate con diversi protocolli sicuri Assicura un accesso più veloce al contenuto di Internet

Aggiornamento dei sistemi Due soluzioni di tipo centralizzato WSUS e SMS 2003 (Windows Server Update Services) GRATUITO! Scarica e installa automaticamente e in maniera mirata patch e update di diversi prodotti Microsoft Capacità di reporting e opzioni di database Gestione semplice via web Update per i Sistemi linux Gestione dell inventario del software e degli asset informatici Aggiornamento del Kernel Identificazione delle vulnerabilità e distribuzione di patch e update in maniera mirata Potenti capacità di reporting e database Monitoring delle applicazioni Integrazione con i servizi di Active Directory e Kerbos

Backup e ripristino dei dati SQL Server e My SQL garantiscono l affidabilità e la sicurezza delle basi di dati Supporta diverse tecnologie hardware e software per la gestione dell alta affidabilità. SQL Server e My SQL garantiscono il pieno supporto dei requisiti di legge per il trattamento dei dati: Crittografia automatica del traffico tra client e server di una rete Crittografia del file system Microsoft Exchange Server 2003 o Mail Server Linux ( Postfix, Dovecot e FechMail ) sono le soluzioni alle problematiche legate all antispamming ed alla gestione in sicurezza della posta elettronica. In particolare Accesso sicuro via Internet da Outlook o Web Mail Su Server Mail Controllo della junk mail con supporto in tempo reale per blacklists ed anti spamming e filtri sulla connessione Scollegamento automatico dopo un periodo di inattività Centralizzazione dei servizi di ripristino delle caselle postali Centralizzazione dei servizi di ripristino dello storage.

La Sicurezza per Passione Ing. Giuseppe Bono gbono@soluzionidimpresa.it 2009 Ing. Giuseppe Bono All rights reserved.