it security 1

hacking

l'attività volta a studiare in modo approfondito le caratteristiche tecniche dei sistemi di computer, con l'obiettivo di individuarne limiti e difetti, fino al punto di essere in grado di modificarli e migliorarli.

hacker

cracker : chi sfrutta le stesse conoscenze per utilizzare il sistema informatico a proprio vantaggio, per rubarne i dati o danneggiarlo

sicurezza informatica :paradigma C.I.A. (Confidentiality, Integrity, Availability) traducibile in italiano nel modello C.I.D. (Confidenzialità, Integrità, Disponibilità).

Per Confidenzialità (o Riservatezza) si intende che l’informazione deve essere accessibile solo a chi è autorizzato a conoscerla e che le informazioni devono essere protette sia durante la trasmissione che durante la memorizzazione

L’Integrità implica che le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate

La Disponibilità invece impone che l’informazione sia sempre disponibile alle persone autorizzate quando necessario.

La norma ISO/IEC 27002:2013 "Information Technology - Security techniques - Code of practice for information security management" è il documento di riferimento sul tema della sicurezza dell’informazione

paradigma C.I.A. (Confidentiality, Integrity, Availability) traducibile in italiano nel modello C.I.D. (Confidenzialità, Integrità, Disponibilità).

principi :La direttiva 95/46/CE e la legge italiana 675/1996, hanno stabilito il quadro di riferimento normativo iniziale poi sfociato nel D.L. 196/2003 comunemente conosciuto come “Codice della privacy”.

mediare tra due esigenze contrastanti:
o La tutela della riservatezza - cioè il controllo dell’interessato sull’utilizzo delle informazioni che lo riguardano da parte di terzi;
o La necessità di rendere sempre disponibili i dati per ragioni di legalità e trasparenza- cioè l’inammissibilità dell’anonimato per questioni di sicurezza.

trasparenza

 L’attività di raccolta dati deve essere manifesta e dichiarata;
 Devono essere descritti i motivi e le finalità;
 Devono essere dichiarate le procedure adottate per il rispetto delle regole;
 Devono essere comunicate le modalità di contestazione.

legittimità

 La raccolta ed il trattamento possono essere consentiti solo se:
 Perseguono fini legittimi
 Non violano i diritti dell’interessato

proporzionalità

 I dati personali raccolti devono essere adeguati, pertinenti e non eccedenti le finalità per cui sono raccolti;
 Devono essere accurati e mantenuti aggiornati

“Interessato": la persona fisica cui si riferiscono i dati personali;

"Responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Principio di conservazione
I dati raccolti devono essere conservati per un tempo non superiore al necessario per gli scopi per i quali sono raccolti.
Principio di sicurezza
 I dati devono essere conservati in modo sicuro e al riparo da intrusioni esterne;
 Sono obbligatorie misure di sicurezza come:
 Protezioni fisiche;
 Protezioni procedurali;
 Protezioni tecniche:
 Protezione da intrusioni
 Protezione da infezioni
 Protezione da perdite di dati

crimine informatico

un'attività criminale attuata utilizzando strumenti informatici come computer e la rete Internet. Esempi di crimine informatico sono la frode informatica, il furto d'identità o l'accesso non autorizzato a sistemi informatici.

Intercettazione

Interferenze di dati

Riproduzione non autorizzata

Diffusione di virus e malware

Polizia postale,C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche),dell’EUROPOL (European Police Office).

Cloud Security Alliance (CSA) con la missione di promuovere l'uso delle migliori pratiche per fornire garanzie di sicurezza all'interno del cloud computing e di fornire supporto formativo sull’uso dello stesso.

dati / informazioni

Nei sistemi informatici le informazioni vengono rappresentate per mezzo di dati

Organizzando i dati in modo da renderli comprensibili, e cioè associandoli ad una interpretazione, si ottengono delle informazioni.

CRITTOGRAFIA simmetrica utilizzata per i documenti prodotti da MS Office, asimmetrica utilizzata nella firma digitale o nella trasmissione di informazioni.

Nella crittografia asimmetrica si utilizzano due chiavi: una privata ed una pubblica disponibili attraverso un ID digitale. Ad esempio, nella cifratura di un messaggio il mittente utilizza la chiave pubblica del destinatario per codificare le informazioni da inviare; il destinatario utilizza la propria chiave privata per decodificare le informazioni ricevute.

Windows mette a disposizione la funzionalità BitLocker. Per attivarla, nelle edizioni di Windows che la supportano, basta andare nel Pannello di controllo, selezionare la categoria Sistema e sicurezza ed infine Crittografia unità BitLocker

Per proteggere un file da accessi indesiderati è necessario impostare sul file una password di apertura.Accedere alla scheda File e selezionare il comando Informazioni.
o Fare clic sul pulsante Proteggi tipodidocumento per aprire il relativo menu e selezionare il comando Crittografa con password.

L'ingegneria sociale (dall'inglese “Social engineering”) è quel ramo della sicurezza delle informazioni che si occupa di manipolare psicologicamente delle persone al fine di compiere azioni o carpire informazioni riservate.

FURTO D'IDENTITA' skimming anche l’acquisizione di immagini o filmati di oggetti su cui sono impressi dei dati sensibili, per esempio la carta di credito o il PIN del Bancomat o Raccolta di informazioni (che possono essere confidenziali o di valore)
o Frode (cioè utilizzare le informazioni raccolte per commettere una truffa)
o Accesso non autorizzato ai dati (cioè accedere a dati di terzi con credenziali rubate).

chiamata telefonica

phishing: una pratica basata sull'invio di messaggi di posta elettronica ingannevoli

shoulder surfing cioè “spiare dietro le spalle”.

Dumpster diving. Tecnica d’indagine basata sull’analisi della spazzatura

Eavesdrop Tecnica che consiste nell’origliare

Wiretap Meglio nota come intercettazione