POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE



Documenti analoghi
L importanza di una corretta impostazione delle politiche di sicurezza

Politica per la Sicurezza

Violazione dei dati aziendali

Internet Banking per le imprese. Guida all utilizzo sicuro

Identità e autenticazione

RETI INFORMATICHE Client-Server e reti paritetiche

Creare una Rete Locale Lezione n. 1

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

5.1.1 Politica per la sicurezza delle informazioni

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

I dati in cassaforte 1

Si tratta di un programma per la gestione della messaggistica ( , pec, posta interna, spedizione fax).

Versione 1. (marzo 2010)

Gamma Endpoint Protector

Come proteggere la vostra rete corporate in modo progressivo ed integrato

Regolamento INTERNET POINT pag.1

NOTE LEGALI E PRIVACY

La soluzione software per CdA e Top Management

La CASSAFORTE DIGITALE per

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

BNL People. Netiquette

Sistemi informativi secondo prospettive combinate

Funzionamento e attivazione

SOSTANZE PERICOLOSE. rispettate le dosi consigliate dal produttore. È utile quindi utilizzare dei sistemi di dosaggio.

GRUPPO CAMBIELLI. Posta elettronica (Webmail) Consigli di utilizzo

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

Benvenuti. Luca Biffi, Supporto Tecnico Achab

Protezione. Protezione. Protezione. Obiettivi della protezione

Le caselle di Posta Certificata attivate da Aruba Pec Spa hanno le seguenti caratteristiche:

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Per informazioni rivolgersi allo Studio:

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

REGOLAMENTO PER IL SERVIZIO DI INTERNET NELLE BIBLIOTECHE

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Software Servizi Web UOGA

Politica d Uso Accettabile della scuola

Situazione Attuale. Le persone svolgono molte operazioni ripetitive ed occupano il proprio computer per le elaborazioni..

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ

Configuration Management

Comune di Folgaria Provincia di Trento

La soluzione software per Avvocati e Studi legali

Sicurezza Informatica e Digital Forensics

Secure domande e risposte

Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

RT VIRTUAL CARD. Manuale Utente

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

MONITORAGGIO E MISURAZIONE DEL PRODOTTO

hi-com software realizzato da Hi-Think

Antivirus. Lezione 07. A cosa serve un antivirus

MService La soluzione per ottimizzare le prestazioni dell impianto

RICEZIONE AUTOMATICA DEI CERTIFICATI DI MALATTIA 1.1. MALATTIE GESTIONE IMPORT AUTOMATICO 1.2. ATTIVAZIONE DELLA RICEZIONE DEL FILE CON L INPS

INDICAZIONI GENERALI

DATABASE MASTER (SEDE PRINCIPALE)

MDaemon GroupWare Per offrire agli utenti le funzionalità di condivisione calendario, rubrica e gli altri oggetti di OutLook

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

MODALITA DI REGISTRAZIONE

Configurazione di Outlook Express

M inist e ro della Pubblica Istruz io n e

Infrastruttura e servizi collegati

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Comune di Limido Comasco

REV. 2015/00 Pag. 1 di 5

WEB SECURITY. Enrico Branca WEBB.IT 03

Organizzazione degli archivi

IT Cloud Service. Semplice - accessibile - sicuro - economico

L amministratore di sistema. di Michele Iaselli

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

Domande e risposte su Avira ProActiv Community

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

SICUREZZA INFORMATICA MINACCE

I vostri documenti sempre disponibili e sincronizzati.

Configurazione Client di posta Rev. 1 del 16/05/2009

Offre da più di 40 anni soluzioni in settori critici come quello governativo, finanziario e della difesa.

Modulo 12 Sicurezza informatica

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

I SÌ e i NO della sicurezza informatica

Sistemi di stampa. L innovazione che caratterizza l alta tecnologia e, in particolare i sistemi

Guida di Pro Spam Remove

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

Modulo 1 Test di verifica

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

In questa pagina si descrivono le politiche di riservatezza dei dati personali forniti

DALL IMMAGINE AL TESTO...SEMPLICEMENTE

non richiede installazioni perchè è

Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini

Linee guida per l assicurazione della qualità nelle piccole e medie imprese di revisione

Il nuovo codice in materia di protezione dei dati personali

Transcript:

POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE yvette@yvetteagostini.it vodka@sikurezza.org

Consulente sicurezza delle informazioni Security evangelist Moderatrice della mailing list ml@sikurezza.org

DEFINIZIONE POLITICA DI SICUREZZA: documento condiviso ed approvato dai piu' alti vertici dell'azienda che definisce quali sono i comportamenti accettabili relativamente a specifici ambiti di interesse della sicurezza delle informazioni Le politiche non sono procedure ne' tanto meno manuali o guide utente

Comunicazioni elettroniche messaggi di posta elettronica trasferimento di documenti in formato elettronico (file tranfer) partecipazioni a newsgroup, forum, bacheche elettroniche,ecc. utilizzo di programmi di instant messaging fax utilizzo di dispositivi mobili, sia telefonici che per messaggistica

MOTIVAZIONI? evitare le conseguenze dell'utilizzo improprio degli strumenti aziendali fuoriuscita indesiderata di informazioni rilevanti e/o dati sensibili pubblicazione di dettagli utili ad eventuali attaccanti diffusione di malware violazione delle leggi mantenere un livello di sicurezza delle informazioni (asset intangibile) proporzionale al loro valore (e quindi sostenibile) Responsabilizzare il personale a ogni livello dell'azienda (diffusione della cultura della sicurezza delle informazioni

ESEMPI Alcuni tipi di malware mandano in giro brani di file presi dagli hard disk dei computer infettati e tra essi vi possono essere anche informazioni riservate..inoltre utilizzano gli indirizzi contenuti nella rubrica Gli header dei messaggi di posta elettronica contengono informazioni utili sull indirizzamento interno usato in azienda Gli utenti aziendali utilizzano programmi di instant messaging e scambiano informazioni con l esterno in modo incontrollato Comunicazioni telefoniche di particolare rilievo avvengono su linee non protette I sistemi di videoconferenza non sono posti in sicurezza..ecc ecc..

Classificazione delle informazioni le informazioni sono parte del patrimonio dell azienda, sebbene siano intangibili hanno un valore e sono soggette a minacce....tanto più gravi quanto maggiore è il loro valore. perciò devono essere protette per fare ciò è necessario classificare le informazioni secondo il loro valore, la loro criticità per I processi di business esempio: segrete riservate pubbliche

Accesso alle informazioni in un sistema che protegge le informazioni non tutti hanno accesso allo stesso set di informazioni principio del need to know/least privilege inutile essere troppo selettivi a livello di politica se poi non vi è un enforcement coerente e usabile inutile regolamentare strettamente l accesso alle informazioni se il personale non è a conoscenza di: principi di classificazione sanzioni applicabili metodi di enforcement

Ciclo di vita delle informazioni tutto il ciclo di vita delle informazioni deve essere preso in considerazione: creazione scambio aggiornamento termine di validità distruzione ogni fase deve essere gestita in modo confacente al valore dell informazione e ai rischi cui è soggetta Esempio: cosa succede agli hard disk dei pc che vengono sostituiti? Esempio: come viene gestito l accesso al file server dove risiedono I file che devono essere aggiornati?

Applicazioni della politica (enforcement): email posta elettronica: Antivirus centralizzato e locale Aggiornamento pushato centralmente Isolare nel più breve tempo possibile le postazioni infettate da virus Controllo del contenuto degli header al fine di evitare diffusione di dettagli architetturali e sistemistici Diffusione capillare delle regole di utilizzo della posta elettronica ai dipendenti

Applicazioni della politica (enforcement): scambio file controllo degli accessi e privilegi granulare verifica delle transazioni sui file critici (registro degli accessi) utenti non devono avere la possibilità di installare programmi di scambio file se non autorizzati espressamente watermarking dei documenti eventuale disabilitazione di dispositivi di copia file su cd, chiavi usb verifica periodica dei file server per evitare scambio di materiale che violi il copyright

Applicazioni della politica (enforcement): Dispositivi mobili implementazione del controllo accessi a livello infrastrutturale utilizzo delle vpn utilizzo di vpn con accesso condizionato al soddisfacimento di determinati requisiti da parte dei client: cisco network admission control Checkpoint webssl autenticazione reciproca bidirezionale (con verifica di certificati, ad esempio)

Comunicazioni telefoniche non tutti I telefoni possono chiamare gli stessi numeri esclusione di numerazioni speciali regole di verifica dell identità del chiamante (per evitare il social engineering) diffuse a tutto il personale utilizzo di dispositivi telefonici cifranti (molto costosi) per le comunicazioni particolarmente sensibili VOIP: utilizzo di dispositivi che tengano conto dei rischi (hijacking delle chiamate, DoS)

Domande?

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back