La protezione delle informazioni nelle attività quotidiane

La protezione delle informazioni nelle attività quotidiane

<Società>

Cos'è la protezione delle informazioni


La necessità di proteggere le informazioni

Il ruolo del dipendente per la protezione in <società>

Le risorse di <società>

Minacce alla protezione e contromisure

Uso del computer a casa

Utili fonti di informazione sulla protezione

Commenti conclusivi


La protezione delle informazioni implica il mantenimento di:

Riservatezza: garantire che le informazioni siano rivelate unicamente dai destinatari specificati / a persone autorizzate e modificate solo da questi ultimiIntegrità: garantire l'accuratezza e la completezza delle informazioni e dei metodi di elaborazioneDisponibilità: garantire che le informazioni e le relative risorse siano accessibili alle persone autorizzate ogni volta che se ne presenti la necessità









Commenti conclusivi


Dal Legislatore in materia di normativa privacy...

A seguito dell'entrata in vigore del Decreto Legislativo n. 196/2003 le società sono obbligate ad adottare nel trattamento dei dati personali tutte le misure di sicurezza minime affinché non si producano danniagli interessati che possano derivare:

dalla distruzione o dalla perdita dei datidall’accesso non autorizzato alla banca dati da parte di terzi

che ne vengono così a conoscenza;dall’effettuazione di un trattamento dati di fuori dei casi

stabiliti dalla legge o con modalità che questa non consente.

La necessità di proteggere le informazioni (2)

Trattamenti dati con strumenti elettronici: gli obblighi specifici imposti dalla normativa

• Utilizzazione sistema di autenticazione informati• Adozione procedure gestione delle credenziali di autenticazione• Utilizzazione di un sistema di autorizzazione• Aggiornamento periodico individuazione ambito trattamento consentito

ai singoli incaricati o addetti alla gestione o alla manutenzione degli strumenti elettronici

• Protezione strumenti elettronici e dati rispetto a trattamenti illeciti o ad accessi non consentiti

• Adozione procedure custodia copie di sicurezza per ripristino disponibilità dati e sistemi

• Tenuta di aggiornato documento programmatico sulla sicurezza• Adozione tecniche cifratura o codici identificativi nei casi di trattamento

dati stati salute o vita sessuale effettuati da organismi sanitari


Precedenti violazioni della protezione in <società>

Violazioni dall'interno della rete Violazioni dall'esterno della rete Violazioni dolose Violazioni involontarie


Le conseguenze di una protezione insufficiente

Perdita del vantaggio competitivo Furto d'identità* Furto di apparecchiature* Interruzione del servizio (ad esempio e-mail e

<applicazione>) Copertura mediatica denigratoria Fiducia del cliente compromessa; perdita della

clientela Multe *

* Agevolazione dell’adempimento normativo









Commenti conclusivi


Il personale può prevenire molte delle minacce alla protezione di <società>

Rispetto dei criteri di protezione aziendali

• Rispetto regolamento informatico interno che trovate <inserire qui i percorsi>

• Apprendimento procedure informatiche internet

Il ruolo del dipendente per la protezione in <società> (2)

Il dipendente può prevenire molte delle minacce alla protezione di <società>

All'interno di <società> occorrerà comportarsi come in una qualsiasi situazione di vitale importanza

• Esempi di domande da porsi prima di svolgere un'attività:– Le azioni che sto per compiere possono in qualche modo

arrecare danno a me o a <società>?– Le informazioni che sono in mio possesso sono di vitale

importanza per me o per <società>?– Le informazioni che sto per esaminare

sono valide o autentiche?– Ho contattato chi di dovere in <società> per fare presenti

le mie incertezze sucome gestire questa situazionedelicata?

Il ruolo del dipendente per la protezione in <società> (3)

A chi rivolgersi

Nel momento in cui si sospetta che qualcosa non vada, rivolgersi al personale <società> adatto

• <Nome "1", ruolo, motivo per contattarlo/a>• <…>• <Nome "n", ruolo, motivo per contattarlo/a>









Commenti conclusivi


Per proteggere efficacemente le risorse di <società>, è necessario comprendere cosa è di vitale importanza per <società>

<Risorsa "1"> <…> <Risorsa "n">









Commenti conclusivi


Software dannoso: i virus

Malware inserito in messaggi e-mail e che può causare molti danni e frustrazione

• Furto di file contenenti dati personali *• Invio di messaggi e-mail dal proprio account *• Impossibilità di utilizzare il computer• Rimozione di file dal computer

Contromisure

Non aprire gli allegati e-mail:• ricevuti da persone sconosciute• che sembrano in qualche modo sospetti

In caso di dubbio, contattare <contatto> Segnalare tutti i messaggi e-mail sospetti a <contatto>



Software dannoso: spyware Qualsiasi tecnologia che consenta di raccogliere

informazioni su di te o su <società> senza saperlo e senza aver dato il consenso. *

• Programma inserito in un computer per raccogliere segretamente informazioni relative all'utente e inoltrarle ad agenzie pubblicitarie o ad altre parti interessate. *

• Vengono utilizzati dei cookie per archiviare informazioni su di te sul tuo computer. *

– Se un sito Web conserva informazioni su di te in un cookie di cui non conosci l'esistenza, questo cookie è considerato uno spyware.

• L'esposizione agli spyware può essere causata da un virus o dall'installazione di un nuovo programma.

Contromisure

Non fare clic su opzioni presenti in finestre popup sospette. Non installare software senza aver ricevuto prima l'approvazione di <contatto>. * Se il computer è lento, funziona male o se appaiono molte finestre popup, contattare

<contatto>.



Accesso non autorizzato ai sistemi Alcune persone ottengono a scopo fraudolento l'accesso non autorizzato a

computer, programmi, informazioni riservate e ad altre preziose risorse *• Non tutti i colpevoli sono sconosciuti; alcuni possono essere i colleghi• L'accesso non autorizzato ai sistemi può sfociare in furto e danni a

informazioni vitali per l'aziendaContromisure

Usare password complesse per tutti gli account * Ricordare le password a memoria *

• Se non è possibile, conservare tutte le password in un luogo sicuro (ad esempio non su un adesivo attaccato al monitor né sotto la tastiera)

Non dire mai a nessuno la password * Non usare mail le password predefinite * Proteggi il computer con uno screen saver protetto da

password * Segnala persone/attività sospette a <contatto> Segnala i computer vulnerabili a <ufficio>



Shoulder surfing (guardare da dietro le spalle)

L'atto di spiare le azioni dei dipendenti conl'obiettivo di carpire informazioni riservate

Contromisure

Osservare tutti quelli che ti stanno intorno e cosa fanno• Viaggi in aereo e in treno• Aeroporti, alberghi, bar e ristoranti; tutti i punti di aggregazione• Caffè Internet• Laboratori informatici

Non eseguire attività che implichino l'uso di informazioni riservate di <società> se è possibile proteggersi da persone che potrebbero spiare

Richiedere a <contatto> un privacy screen per il portatile aziendale


Accesso non autorizzato alla struttura Alcune persone si introducono dolosamente negli uffici senza

autorizzazione, con l'intento di rubare apparecchiature, informazioni riservate e altre risorse preziose per <società>

Contromisure Non tenere la porta aperta a persone non identificate, ossia

impedire che qualcuno si "intrufoli" in azienda * <Inserire le procedure aziendali per fermare e segnalare

persone che non mostrino alcun badge aziendale né di visitatore> *

Distruggi tutti i documenti riservati di <società> Non lasciare niente di valore in vista nel tuo ufficio / spazio di

lavoro (ad esempio chiudi a chiave tutti i documenti riservati di <società> nei cassetti della scrivania / nell'armadietto) *

Se hai visite, accompagna la persona durante *tutta la sua permanenza



Personale curioso

Dipendente, non necessariamente male intenzionato,che agisce ai limiti del consentito in relazione alla rete e all'accesso alla struttura

Contromisure

Ritira subito i documenti inviati in stampa e i fax riservati di <società> *

Distruggi tutti i documenti riservati di <società> * Chiudi a chiave tutti i documenti riservati di <società> nei

cassetti della scrivania / negli armadi * Segui le indicazioni fornite in precedenza per evitare l'accesso

non autorizzato ai sistemi Segnala attività / comportamenti sospetti al tuo supervisore



Dipendenti insoddisfatti Dipendenti scontenti o preoccupati con l'intenzione

di danneggiare altri dipendenti o <società>Contromisure

Contatta <contatto> se sospetti che un dipendente sia insoddisfatto e potenzialmente pericoloso

Osserva gli altri e segnala un eventuale comportamento sospettoso / inappropriato a <contatto>

Sii molto prudente se ti rendi conto che la situazione potrebbe concludersi con un licenziamento in tronco


Social engineering

Approfittare della natura altruista o della coscienzadelle persone a scopi dolosi

Contromisure

Non dimenticare mai che gli attacchi di socialengineering sono mirati proprio ai dipendenti di <società>

Se ricevi una telefonata sospetta, chiedi di richiamare tu• Dai informazioni personali / riservate di <società> a una persona

al telefono solo se hai già verificato la sua identità e la sua relazione con l'azienda per cui dice di lavorare

Mai dare per telefono una password, nemmeno quelle personali * Segnala sempre a <contatto> la presenza di sconosciuti nella struttura

di <società> *



Phishing Tipo di truffa online in cui i truffatori inviano messaggi e-mail per tentare

un furto d'identità, un furto bancario o per assumere il controllo del computer *

Contromisure Usa la tecnica "fermati-leggi-chiama":

• Fermati: non lasciarti attirare da trucchi tipici del phishing, come informazioni "sconvolgenti" o "interessantissime"

• Leggi: leggi attentamente tutte le frasi del messaggio e-mail ed esamina attentamente tutti i collegamenti e gli indirizzi Web contenuti

• Chiama: non rispondere ai messaggi e-mail che ti chiedono di confermare i tuoi dati; chiama o manda un messaggio all'azienda in questione per verificare che tale messaggio sia autentico

Non inviare mai dati personali tramite e-mail *• Quando inserisci dati personali o riservati in un sito Web, verifica che

nel browser sia presente il lucchetto di sicurezza Controlla gli estratti conto bancari e della

carta di credito per verificare che non siano stati effettuati movimenti sospetti

Segnala eventuali attività sospette a <contatto>



Furto di informazioni tramite i servizi di messaggistica immediata (IM) gratuiti Tra le minacce derivanti dall'uso di servizi di messaggistica

immediata gratuiti sul luogo di lavoro ci sono la fuga di informazioni personali, la perdita di informazioni riservate e le intercettazioni

• <Inserire qui i criteri di protezione aziendali in materia di messaggistica immediata>

Contromisure A seconda della persona con cui comunichi e di come è stato

implementato il servizio di messaggistica immediata, ogni messaggio che mandi (anche al collega dell'ufficio a fianco) può uscire dalla rete aziendale di <società>

• Tutti i messaggi che mandi possono essere rilevati e letti da malintenzionati

Non inviare mai messaggi confidenziali né file tramite la messaggistica immediata

Renditi conto che non c'è modo di sapere se la persona con cui stai comunicando sia veramente chi dice di essere









Commenti conclusivi


Quando si usa il proprio computer per scopi aziendali, è necessario attenersi a condizioni e procedure specifiche

Il pc deve essere conforme alle politiche di sicurezza dell'azienda nel rispetto della normativa privacy

<…> <Condizione "n"> <Procedura in breve "1"> <…> <Procedura in breve "n">









Commenti conclusivi


Qui sono indicate diverse e utili risorse per la protezione

• http://www.microsoft.com/italy/pmi/sicurezza/default.mspx

• http://www.microsoft.com/italy/security/default.mspx

• http://www.microsoft.com/italy/athome/security/default.mspx

• Guida alla protezione per l'uso dei computer a casa, che in molti casi è applicabile anche all'uso di computer di <società>

http://www.microsoft.com/italy/pmi/sicurezza/default.mspx

http://www.microsoft.com/italy/security/default.mspx

http://www.microsoft.com/italy/athome/security/default.mspx

Commenti conclusivi








Commenti conclusivi

Commenti conclusivi

Ogni volta che si tratta di qualcosa di vitale importanza per <società> e per te, pensa alla protezione

Quando sono in gioco la tua sicurezza personale o quella di <società> o si tratta di informazioni riservate, chiediti sempre: "Quali misure devo adottare per proteggere me stesso, la mia azienda e le informazioni aziendali riservate da danni, furto e divulgazione inappropriata?“

A casa, applica considerazioni simili a quelle discusse oggi in questa lezione sulla consapevolezza in materia di protezione

I pericoli non restano in azienda, ma colpiscono anche la tua casa e altri ambienti

Non far sfociare in paranoia le indicazioni di questa presentazione sulla protezione

Usa ciò che hai imparato oggi per prendere decisioni più consapevoli per proteggere te, <società> e gli altri

La protezione delle informazioni nelle attività quotidiane

Documents

Transcript of La protezione delle informazioni nelle attività quotidiane