it security 1
L'ingegneria sociale (dall'inglese “Social engineering”) è quel ramo della sicurezza delle informazioni che si occupa di manipolare psicologicamente delle persone al fine di compiere azioni o carpire informazioni riservate.
Wiretap Meglio nota come intercettazione
Eavesdrop Tecnica che consiste nell’origliare
Dumpster diving. Tecnica d’indagine basata sull’analisi della spazzatura
shoulder surfing cioè “spiare dietro le spalle”.
phishing: una pratica basata sull'invio di messaggi di posta elettronica ingannevoli
chiamata telefonica
FURTO D'IDENTITA' skimming anche l’acquisizione di immagini o filmati di oggetti su cui sono impressi dei dati sensibili, per esempio la carta di credito o il PIN del Bancomat o Raccolta di informazioni (che possono essere confidenziali o di valore)
o Frode (cioè utilizzare le informazioni raccolte per commettere una truffa)
o Accesso non autorizzato ai dati (cioè accedere a dati di terzi con credenziali rubate).
CRITTOGRAFIA simmetrica utilizzata per i documenti prodotti da MS Office, asimmetrica utilizzata nella firma digitale o nella trasmissione di informazioni.
Per proteggere un file da accessi indesiderati è necessario impostare sul file una password di apertura.Accedere alla scheda File e selezionare il comando Informazioni.
o Fare clic sul pulsante Proteggi tipodidocumento per aprire il relativo menu e selezionare il comando Crittografa con password.
Windows mette a disposizione la funzionalità BitLocker. Per attivarla, nelle edizioni di Windows che la supportano, basta andare nel Pannello di controllo, selezionare la categoria Sistema e sicurezza ed infine Crittografia unità BitLocker
Nella crittografia asimmetrica si utilizzano due chiavi: una privata ed una pubblica disponibili attraverso un ID digitale. Ad esempio, nella cifratura di un messaggio il mittente utilizza la chiave pubblica del destinatario per codificare le informazioni da inviare; il destinatario utilizza la propria chiave privata per decodificare le informazioni ricevute.
dati / informazioni
Organizzando i dati in modo da renderli comprensibili, e cioè associandoli ad una interpretazione, si ottengono delle informazioni.
Nei sistemi informatici le informazioni vengono rappresentate per mezzo di dati
crimine informatico
Cloud Security Alliance (CSA) con la missione di promuovere l'uso delle migliori pratiche per fornire garanzie di sicurezza all'interno del cloud computing e di fornire supporto formativo sull’uso dello stesso.
Polizia postale,C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche),dell’EUROPOL (European Police Office).
un'attività criminale attuata utilizzando strumenti informatici come computer e la rete Internet. Esempi di crimine informatico sono la frode informatica, il furto d'identità o l'accesso non autorizzato a sistemi informatici.
Diffusione di virus e malware
Riproduzione non autorizzata
Interferenze di dati
Intercettazione
principi :La direttiva 95/46/CE e la legge italiana 675/1996, hanno stabilito il quadro di riferimento normativo iniziale poi sfociato nel D.L. 196/2003 comunemente conosciuto come “Codice della privacy”.
"Responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Principio di conservazione
I dati raccolti devono essere conservati per un tempo non superiore al necessario per gli scopi per i quali sono raccolti.
Principio di sicurezza
I dati devono essere conservati in modo sicuro e al riparo da intrusioni esterne;
Sono obbligatorie misure di sicurezza come:
Protezioni fisiche;
Protezioni procedurali;
Protezioni tecniche:
Protezione da intrusioni
Protezione da infezioni
Protezione da perdite di dati
“Interessato": la persona fisica cui si riferiscono i dati personali;
mediare tra due esigenze contrastanti:
o La tutela della riservatezza - cioè il controllo dell’interessato sull’utilizzo delle informazioni che lo riguardano da parte di terzi;
o La necessità di rendere sempre disponibili i dati per ragioni di legalità e trasparenza- cioè l’inammissibilità dell’anonimato per questioni di sicurezza.
proporzionalità
I dati personali raccolti devono essere adeguati, pertinenti e non eccedenti le finalità per cui sono raccolti;
Devono essere accurati e mantenuti aggiornati
legittimità
La raccolta ed il trattamento possono essere consentiti solo se:
Perseguono fini legittimi
Non violano i diritti dell’interessato
trasparenza
L’attività di raccolta dati deve essere manifesta e dichiarata;
Devono essere descritti i motivi e le finalità;
Devono essere dichiarate le procedure adottate per il rispetto delle regole;
Devono essere comunicate le modalità di contestazione.
sicurezza informatica :paradigma C.I.A. (Confidentiality, Integrity, Availability) traducibile in italiano nel modello C.I.D. (Confidenzialità, Integrità, Disponibilità).
paradigma C.I.A. (Confidentiality, Integrity, Availability) traducibile in italiano nel modello C.I.D. (Confidenzialità, Integrità, Disponibilità).
La norma ISO/IEC 27002:2013 "Information Technology - Security techniques - Code of practice for information security management" è il documento di riferimento sul tema della sicurezza dell’informazione
La Disponibilità invece impone che l’informazione sia sempre disponibile alle persone autorizzate quando necessario.
L’Integrità implica che le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate
Per Confidenzialità (o Riservatezza) si intende che l’informazione deve essere accessibile solo a chi è autorizzato a conoscerla e che le informazioni devono essere protette sia durante la trasmissione che durante la memorizzazione
hacking
l'attività volta a studiare in modo approfondito le caratteristiche tecniche dei sistemi di computer, con l'obiettivo di individuarne limiti e difetti, fino al punto di essere in grado di modificarli e migliorarli.
cracker : chi sfrutta le stesse conoscenze per utilizzare il sistema informatico a proprio vantaggio, per rubarne i dati o danneggiarlo
hacker
