Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMATICA
1. Information Security
e Mobile Security
1. Information Security e Mobile Security
Introduzione
Benvenuto nel corso di Poste Italiane dedicato alla sicurezza informatica, un tema delicato e
importante che investe numerosi aspetti della vita professionale.
• parleremo delle attività degli hacker e degli strumenti informatici cui ricorrono
L’Information Security
L’Information Security è l’insieme delle misure, di carattere organizzativo e tecnologico, a
protezione dei sistemi informatici.
• l’autenticazione dell’utente;
Gli obiettivi principali dell’Information Security per gli asset critici sono indicati dall’acronimo RID
(CIA in inglese) che sta per:
• Riservatezza («Confidentiality»);
• Integrità («Integrity»)
• e Disponibilità («Availability»).
Tutti i controlli, i meccanismi e le garanzie di sicurezza sono attuati per fornire uno o più di questi
tipi di protezione; e tutti i rischi, le minacce e le vulnerabilità vengono misurati per la loro potenziale
capacità di compromettere uno o più principi della triade RID (o CIA).
In aggiunta alla triade RID (o CIA), altri cinque principi e concetti di sicurezza sono rilevanti:
• Authentication, cioè la verifica che l’identità rivendicata sia valida. La forma più comune di
autenticazione è la password.
• Auditing: la registrazione dei log di eventi e/o attività effettuati da un soggetto autenticatosi
su di un sistema. L’auditing è necessario ad esempio per rilevare tentativi di intrusione su di
un sistema e per ricostruire gli eventi occorsi.
Per avere una base di comprensione ed un linguaggio comune riguardo l’Information Security,
occorre far riferimento a:
• direttive emanate dall’Unione Europea quali la NIS che forniscono alcune definizioni
standard per l’ambito della sicurezza informatica.
Vediamole insieme.
ISO/IEC
NIST
National Institute of Standard and Technology, organizzazione statunitense responsabile per lo sviluppo di
standard e linee guida per la sicurezza delle informazioni.
NIS
È la Network and Information Security, attuata in Italia con il D.lgs 65/2018 in vigore dal 24 giugno 2018.
DEFINIZIONI
Evento
Per evento di sicurezza delle informazioni si intende:
• ai fini ISO/IEC 27000:2014 un’occorrenza di un sistema, servizio o rete che indica un’eventuale
violazione delle politiche di sicurezza o il fallimento dei controlli o una situazione precedentemente
sconosciuta che potrebbe essere rilevante per la sicurezza;
• ai fini della ISO/IEC 27035:2011 una possibile violazione della sicurezza delle informazioni, policy o
insuccesso dei controlli o una situazione precedentemente non nota che può essere rilevante ai fini
della sicurezza.
Minaccia
Per minaccia si intende la causa potenziale di un incidente indesiderato, che può determinare un danno a
un sistema o all’Organizzazione.
Incidente
Per incidente di sicurezza delle informazioni si intende:
• ai fini ISO/IEC 27000:2014, un singolo evento o una serie di eventi di sicurezza indesiderati o
inaspettati, che hanno una significativa probabilità di compromettere il business e minacciare la
sicurezza delle informazioni;
• ai fini ISO/IEC 27035:2011, un evento o più eventi di sicurezza delle informazioni indesiderati o
inattesi che hanno una significativa probabilità di compromettere le operazioni di business e
minacciare la sicurezza delle informazioni;
• secondo l’articolo 3, lett. l) del D.lgs. 65/2018, che attua la direttiva NIS in Italia, si intende ogni
evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi.
Vulnerabilità
Per vulnerabilità la ISO/IEC 27000:2014 si intende una debolezza di un asset o di un controllo che può
essere sfruttata da una o più minacce.
Rischio
Secondo l’articolo 3, lett. n) del D.lgs. 65/2018, che attua la direttiva NIS in Italia, per rischio si intende ogni
circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza
della rete e dei sistemi informativi.
Trattamento Incidente
Per trattamento dell’incidente si intendono tutte le procedure necessarie per l’identificazione, l’analisi e il
contenimento di un incidente e l’intervento in caso di incidente.
In Poste Italiane, la gestione degli eventi e incidenti di sicurezza informatica è disciplinata con la
procedura operativa «Gestione degli Eventi e degli Incidenti di Sicurezza informatica di
Gruppo», che trovi sulla Intranet.
Tale procedura regolamenta le fasi di monitoraggio dei potenziali eventi di sicurezza, il loro
trattamento e l’escalation in casi di incidente di particolare gravità fino al miglioramento continuo.
Nella procedura, per evento si intende qualsiasi occorrenza anomala in ambito Sicurezza IT che
non sia un falso positivo e osservabile sia attraverso piattaforme di monitoraggio sia attraverso
interazioni umane e che, a valle di una fase di triage, possa far ritenere che ci siano gli estremi per
la configurabilità di un incidente di sicurezza.
• una violazione (anche potenziale) della triade RID (o CIA), che può impattare su
Informazioni, Sistemi, Applicazioni e Pacchetti Applicativi;
Ai soli fini della Circolare n. 285 del 17 dicembre 2013 di Banca d’Italia rientrano nella
definizione di incidenti di sicurezza informatica anche i disservizi, i malfunzionamenti e le frodi.
Più in dettaglio, nel capitolo “definizioni” della Procedura «Gestione degli Eventi e degli Incidenti di
Sicurezza informatica di Gruppo» di Gruppo si definiscono:
• «incidente di sicurezza informatica» ogni evento che implica la violazione o l’imminente minaccia di
violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es.,
frodi informatiche, attacchi attraverso Internet e malfunzionamenti e disservizi);
• «incidente grave di sicurezza informatica» un incidente di sicurezza informatica da cui derivi almeno
una delle seguenti conseguenze:
a. perdite economiche elevate o prolungati disservizi per l’intermediario, anche a seguito di
ripetuti incidenti di minore entità;
b. disservizi rilevanti sulla clientela e altri soggetti (ad es., intermediari o infrastrutture di
pagamento); la valutazione della gravità considera il numero dei clienti o controparti
potenzialmente coinvolti e l’ammontare a rischio;
c. il rischio di inficiare la capacità della banca di conformarsi alle condizioni e agli obblighi di
legge o previsti dalla disciplina di vigilanza.
Mobile Security
Una parte molto importante della Information security riguarda la cosiddetta Mobile Security, cioè
la sicurezza delle applicazioni mobili.
In Poste Italiane, il servizio di Mobile Security per la sicurezza delle applicazioni mobili di Poste
Italiane e delle Società del Gruppo è in capo alla funzione Sicurezza Informatica.
• analizzare le tipologie dei dati raccolti ed eventualmente trasmessi dalle App utilizzate;
• prevenire esposti dei clienti per illeciti riconducibili all’uso di App collegate a Poste Italiane
e/o alle Società del Gruppo;
• prevenire danni diretti e indiretti (come gli incidenti di sicurezza o il danno d’immagine)
dovuti a un utilizzo improprio delle App o dei marchi;
• tutelare la proprietà intellettuale (come ad esempio i diritti relativi al codice sorgente delle
App).
Il servizio di Mobile Security coinvolge tutte le App che espongono marchi riconducibili a Poste
Italiane o Società del Gruppo:
• quelle che sono sviluppate da o per conto del Gruppo Poste Italiane o da Terzi su iniziativa
individuale non autorizzata;
• quelle che pur non essendo di Poste Italiane o Società del Gruppo possono essere
riconducibili a esse, perché utilizzano simboli o segni distintivi analoghi
• e quelle che offrono funzionalità che prevedono il trattamento dei dati dei Clienti e sono
fruibili sia mediante i market ufficiali (come Google Play Store e Apple Store), sia attraverso
market alternativi, come Aptoide.
Il servizio Mobile App Security Monitoring ha avuto inizio nell’aprile del 2015 e ha come obiettivo:
Il servizio di Mobile App Security Assessment è stato avviato dalla funzione Sicurezza
Informatica nel dicembre 2014 al fine di:
• determinare il livello di sicurezza delle applicazioni mobili di Poste Italiane e delle Società
del Gruppo, attraverso l’esecuzione di Security Assessment, che sfruttano tecniche di
analisi statica e dinamica
Infine, Il servizio di Mobile App Security By Design è volto a fornire i requisiti di sicurezza
relativamente alle nuove iniziative che Poste Italiane e le Società del Gruppo attivano per la
realizzazione di nuove App.
Questo servizio consente di controllare e indirizzare, in maniera dinamica e continua, gli aspetti
che riguardano il ciclo di vita delle App attraverso:
• la definizione dei processi e delle procedure sulla base di politiche, standard e best practice
consolidate, che garantiscono la sicurezza delle App;
Dall’avvio del servizio di Mobile Security le applicazioni mobili del Gruppo e quelle non autorizzate,
comunque a esso riconducibili per similitudine di parole chiave, simboli e colori, sono monitorate
giornalmente. Il monitoraggio ha permesso di rimuovere complessivamente centinaia di
applicazioni, pubblicate sia sui market ufficiali che su quelli alternativi.
Sono costantemente effettuate attività di security assessment nei confronti delle principali App
del Gruppo (es. PosteID, BancoPosta, UfficioPostale, PostePay).
Le attività sono volte ad individuare e risolvere diverse vulnerabilità, che vengono poi condivise
con le funzioni d’ingegneria e sviluppo al fine gestire i piani di rientro.
Le attività di sicurezza hanno consentito a Poste Italiane di assolvere, in qualità di Identity Provider
(IdP), nell’ambito dell’iniziativa PosteID SPID, agli impegni assunti con la Convenzione stipulata
con l’Agenzia per l’Italia Digitale (AgID).
Malware e hacking
Ogni giorno che passa diventa sempre più chiaro che la sfida per la sicurezza informatica, in
tutte le sue declinazioni, è la vera sfida del futuro.
Infatti, il volume delle attività illecite che si consumano in ambito informatico restituisce ormai il
quadro di un’attività criminale organizzata, ramificata e aggressiva in tutto il mondo.
Vediamo quali sono le tecniche principali usate dagli hacker per appropriarsi illecitamente delle
credenziali di accesso di una potenziale vittima.
Il “Brute force attack” è un tipo di attacco volto a scoprire una password tentando tutte le possibili
combinazioni di lettere, numeri e simboli tramite l’utilizzo di software apposito.
Con il “Keystroke monitoring” tramite uno strumento hardware o un software, detto keylogger,
vengono registrati i tasti digitati sulla tastiera dalla vittima.
Il “Phishing” è una attività illecita in cui, attraverso vari stratagemmi (come la riproduzione di siti
web, i falsi messaggi di posta elettronica o con programmi informatici detti malware) il
cybercriminale si impossessa fraudolentemente delle credenziali di autenticazione (username e
password) di un utente.
Con la tecnica del “Social engineering” il criminale cerca di conquistare la fiducia di un utente con
l’inganno, l’adulazione o l’impersonificazione per entrare in possesso delle sue credenziali di
autenticazione.
Lo “Sniffing” del traffico di rete (detto anche eavesdropping o snooping) è un attacco volto a
catturare i pacchetti che viaggiano in rete con l’intento di analizzarli.
Infine, con lo “Spoofing (cioè il “mascheramento”) un attaccante simula di essere qualcun altro o
qualcos’altro.
Ad esempio alcune applicazioni software sono usate per simulare la schermata di accesso di un
sito noto. Quando un utente inserisce le credenziali, queste vengono catturate e poi utilizzate
illecitamente.
Altri tipi di attacchi utilizzano l’e-mail spoofing (lo spammer falsifica l’indirizzo e-mail per far credere
al destinatario che il mittente sia un altro soggetto e carpire delle informazioni) o il phone number
spoofing tramite cui lo spammer simula un contatto telefonico!
Particolarmente importanti sono gli aggiornamenti del software (le cosiddette “patch”) che
consentono di colmare le falle di sicurezza che vengono scoperte quasi quotidianamente.
Le suddette falle sono responsabili dell’accesso non autorizzato ai dati e della propagazione di
virus e malware e si possono trovare sia nei sistemi operativi, sia nelle applicazioni.
Anche nel caso in cui si proceda a un aggiornamento tempestivo (e possibilmente automatico) del
software, esistono le cosiddette falle di sicurezza “0-day”, ossia vulnerabilità note per le quali non
esiste nell’immediato alcun aggiornamento di sicurezza.
Poiché una gran parte del malware è veicolata tramite Internet e, quindi, tramite i browser di
navigazione, è utile usare una strategia cosiddetta a “doppio browser”, ovverosia avere sempre
due browser installati sul computer per utilizzare, almeno temporaneamente, il secondo browser
finché la falla di sicurezza del primo non viene risolta dal produttore.
Inoltre, dal momento che non si può mai escludere che i dati vengano parzialmente o
completamente persi a seguito di errori involontari o inconsapevoli, di problemi tecnici, oppure a
causa di malware, per ridurre al minimo il rischio di perdita irrimediabile dei dati, è necessario
effettuarne regolarmente il cosiddetto “backup”, cioè il salvataggio periodico su un differente
supporto che in caso di necessità può essere usato per il ripristino dei dati persi.
Ora che hai capito che quello che gli hacker sono interessati a carpire le credenziali di
autenticazione, con particolare riferimento alle password, va da sé che occorre adottare opportuni
accorgimenti per fare in modo che siano sicure.
Essenzialmente una password è una stringa di caratteri e numeri e ancora oggi è la forma più
comune di autenticazione.
Le password sono tipicamente statiche, cioè tendono a non cambiare nel breve periodo.
Mediamente una password rimane la stessa per almeno 30 giorni.
Per molti versi le password possono rappresentare un meccanismo di sicurezza debole se non
vengono costruite correttamente.
Molto spesso l’utente sceglie una password facile da ricordare, ma di conseguenza anche facile da
scoprire o decifrare:
• le password generate casualmente sono più sicure, ma difficili da ricordare e ciò porta
diversi utenti a scriverle, compromettendone così la sicurezza;
• ancora oggi alcuni utenti hanno la pessima abitudine di condividere le loro password;
• alcune password vengono trasmesse in chiaro o con protocolli di cifratura deboli che
possono essere scardinati senza troppi sforzi;
• gli attacchi “brute force” possono individuare molto velocemente le password più deboli,
tentando tutte le possibili combinazioni, tipicamente tramite programmi, non manualmente.
La scelta poco avveduta di una password rappresenta una fonte di rischio per la sicurezza.
• considera che i calcoli per individuare una password di cui si suppone a priori la lunghezza
(8 caratteri è la più diffusa) sono più veloci di quelli per individuare una password di
lunghezza sconosciuta;
• fa’ che sia facile da memorizzare e non metterla per iscritto. Puoi usare una frase composta
da parole comuni, ma senza senso o parole compiute che contengono anche caratteri
speciali, come in questo esempio;
• ci sono dei programmi per collaudare la robustezza di una password ma non usarli per
testare con le password originali, bensì similari! La sicurezza non è mai troppa;
• in particolare, per i servizi online usa per ognuno di essi una password diversa e cambiala
nel rispetto delle policy aziendali o subito se hai il sospetto che possa essere stata
scoperta;
• ricorri a una «password history», cioè tieni traccia almeno delle ultime cinque password che
hai usato per evitare di riutilizzarle. Gli studi ci dicono che molti utenti hanno l’abitudine di
utilizzare sistematicamente due password a rotazione, ciascuna alla scadenza dell’altra.
Questo è un vero e proprio invito a nozze per gli hacker!
Nel 2017, l’Istituto Nazionale americano degli Standard e delle Tecnologie (il NIST) ha pubblicato
le linee guida per la realizzazione di una password sicura, intitolate “NIST Special Publication 800-
63. Appendix A” che stabiliscono nuove regole.
2. La Network and
Information Security
2. La Network and Information Security
Introduzione
Il 6 luglio del 2016 l’Unione Europea si è dotata della Direttiva 2016/1148, recante “misure per
un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”.
Questa direttiva, nota come NIS: Network and Information Security Directive, è poi entrata in
vigore l’8 agosto 2016 ed è stata attuata in Italia con il D.lgs. 18 maggio 2018, n. 65.
• e il significato e i contenuti della direttiva, nonché le sue ricadute nel nostro Paese.
Gli incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite
finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia.
Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi si è
pertanto reso necessario un approccio globale a livello di Unione, che contemplasse la creazione
di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di
informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali
(Operators of Essential Services) e i fornitori di servizi digitali (Digital Service Providers).
E la risposta a queste esigenze è stata proprio la NIS e i suoi più recenti aggiornamenti
normativi.
Aggiornamenti normativi
L’articolo 1, comma 17, lettera a), del decreto ha apportato una modifica all’articolo 4, comma 5, del D.lgs.
n. 65/2018 che riguarda l’elenco nazionale degli OES (Operatori dei Servizi Essenziali), istituito presso il
Ministero dello Sviluppo Economico. La modifica prevede espressamente che il Ministero inoltri l’elenco
nazionale degli OES ai seguenti soggetti:
a. Dipartimento delle informazioni per la sicurezza (DIS), quale punto di contatto unico, ossia l’organo
incaricato del coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e
dei sistemi informativi e della cooperazione transfrontaliera delle autorità competenti NIS con le
autorità competenti negli altri Stati membri, nonché con la rete di Computer Security Incident
Response Team (CSIRT) e con il gruppo di cooperazione o NIS Cooperation Group.
b. All’organo del Ministero dell’Interno preposto alla sicurezza e la regolarità dei servizi di
telecomunicazione, che si occupa di assicurare «i servizi di protezione informatica delle
infrastrutture critiche informatizzate di interesse nazionale». L’organo in questione è il Centro
Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC).
Inoltre, il predetto D.l. 105/2019 ha modificato anche l’articolo 9, comma 3, del D.lgs. 65/2018 affidando al
CSIRT italiano l’obbligo di informare le autorità competenti NIS, il DIS ed il CNAIPIC in merito alle notifiche
di incidenti trasmesse dagli OES e DSP (Fornitori di Servizi Digitali).
Per conoscere nel dettaglio cosa sono il DIS, gli OES, i DSP e il CSIRT non devi far altro che procedere con
il corso.
La Direttiva NIS si propone di raggiungere un elevato livello comune europeo di sicurezza tramite
tre pilastri:
• requisiti;
• autorità e strategia;
• cooperazione.
• dotarsi di una strategia nazionale di cybersecurity, che definisca gli obiettivi strategici, le
politiche adeguate e le misure di regolamentazione;
• designare uno o più Computer Security Incident Response Team (CSIRT), per il
monitoraggio degli incidenti a livello nazionale, l’invio di alert tempestivi, il reporting e
l’awareness su rischi e incidenti, in stretta cooperazione con i team degli altri paesi europei.
• il Settore Bancario;
• il Settore Sanitario;
• e le Infrastrutture digitali (Domain Name System, Top Level Domain e Internet Exchange
Point).
• Mercato online;
Gli operatori di servizi essenziali interessati dalla Direttiva NIS hanno requisiti di sicurezza ben più
stringenti dei fornitori di servizi digitali, a fronte della gravità del danno per il mantenimento delle
attività sociali e economiche critiche che potrebbe derivare da un’eventuale interruzione dei servizi
da loro erogati.
Gli OES sono tenuti ad adottare misure appropriate in grado di garantire un livello di sicurezza
delle reti e dei sistemi informativi adeguato al rischio esistente e nello specifico è loro compito:
Inoltre, sia gli OES che i DSP hanno il dovere di notificare, senza indebito ritardo, alla competente
autorità NIS o al CSIRT nazionale tutti quelli incidenti che hanno un effetto negativo significativo
sulla continuità dei servizi essenziali forniti.
La NIS però non definisce le soglie per ciò che costituisce un “effetto negativo significativo”.
Per gli OES, le soglie dovrebbero essere determinate dagli Stati membri, mentre per i DSP, dalla
Commissione negli atti di esecuzione.
Criteri generali
Guarda questa semplice infografica per capire quali son o gli obiettivi fondamentali della Direttiva NIS.
È bene precisare che la Direttiva NIS non si applica al mondo dei fornitori di reti pubbliche di
comunicazioni o servizi di comunicazione elettronica accessibili al pubblico (come ad esempio le
Telco) in quanto soggetti, già da tempo, a requisiti di sicurezza simili nel quadro normativo
comunitario, come:
• la Direttiva 2009/140/CE;
• la Direttiva 2002/58/CE
• segnalare incidenti che hanno un impatto significativo sul funzionamento della rete o dei
servizi senza che sia indicato alcun termine (articoli 13a e 13b della Direttiva 2009/140/CE)
Tuttavia, nel medio termine non ci saranno più regole specifiche per le Telco; ciò grazie al
Regolamento e-Privacy che sostituirà la Direttiva 2002/58/CE e che contiene degli interessanti
elementi di novità.
Tutti i provider online, inclusi i fornitori di servizi di comunicazione elettronica accessibili al pubblico e gli
OTT, devono garantire un livello di sicurezza adeguato al rischio e notificare le violazioni dei dati personali
entro settantadue ore (non più ventiquattro ore per i fornitori, secondo l’e-Privacy Directive).
Oltre a ciò, è stata emessa e pubblicata, dall’Agenzia per l’Italia Digitale, la Circolare 17 marzo
2017, numero 1, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, poi
sostituita dalla Circolare del 18 aprile 2017, numero 2.
Questi atti sono stati emessi in attuazione della Direttiva del 1° agosto 2015 della Presidenza
del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della
sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il
nostro Paese e che impone l’adozione di standard minimi di prevenzione e reazione ad eventi
cibernetici.
Tutte le Pubbliche Amministrazioni (ai sensi dell’articolo 2, comma 2, del Codice Amministrazione
Digitale) avevano tempo fino al 31 dicembre 2017 per implementare le misure di sicurezza ICT tra i
tre livelli di attuazione previsti (minimo, intermedio o standard, superiore) al fine di contrastare le
minacce più comuni e frequenti alle quali sono soggette.
Il livello minimo rappresenta la linea di base alla quale ogni amministrazione, indipendentemente
dalla sua natura e dimensione, deve necessariamente essere conforme. Fra le misure minime è
previsto anche che le PA accedano sistematicamente a servizi di early warning che consentano
loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza.
Il livello intermedio o standard rappresenta la situazione di riferimento per la maggior parte delle
amministrazioni.
In Italia la Direttiva NIS è stata recepita con il Decreto Legislativo 65 del 18 maggio 2018.
Nel modello istituzionale scelto dal governo sono designate autorità competenti NIS i seguenti
Ministeri, ciascuno responsabile per uno o più settori rientranti nelle proprie aree di competenza:
Per alcuni ambiti, come la salute e la fornitura e distribuzione di acqua potabile, sono riconosciute
come autorità competenti anche le Regioni e Province autonome di Trento e Bolzano.
Recepimento NIS
Questo è lo schema di riferimento che indica l’ambito di competenza di ciascun Ministero designato
relativamente alla Direttiva NIS.
Nell’esecuzione dei propri compiti, le autorità competenti NIS hanno individuato 465 realtà,
pubbliche o private, quali operatori di servizi essenziali con una sede nel territorio nazionale;
l’elenco nazionale - istituito presso il Ministero dello sviluppo economico - sarà soggetto ad
aggiornamento periodico, ove necessario e comunque ogni due anni, al fine di tener conto di
eventuali nuove realtà, potenzialmente in grado di rafforzare la sicurezza nell’erogazione dei
servizi essenziali.
• adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi
posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni;
Un incidente a carico di un DSP va considerato rilevante se si verifica almeno una delle seguenti
condizioni:
• perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE;
• rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
I soggetti giuridici non identificati come OES o DSP possono inoltrare al CSIRT notifiche
volontarie degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro
erogati, al fine di accrescere i livelli di sicurezza, anche attraverso un maggiore scambio di
informazioni.
• informare gli altri Stati UE, eventualmente coinvolti dall’incidente, tutelando la sicurezza e
gli interessi commerciali dell’OES o del DSP nonché la riservatezza delle informazioni
fornite;
Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei Ministri mediante unificazione
del Computer Emergency Response Team Nazionale per il settore privato e quello per la Pubblica
Amministrazione, assumendone i compiti.
Quale punto di contatto unico NIS è stato designato il DIS, il Dipartimento per le Informazioni e
la Sicurezza. Spetta a quest’ultimo assicurare, a livello nazionale, il coordinamento delle questioni
relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario
a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli
altri Stati membri, con il Gruppo di cooperazione istituito presso la Commissione europea e la rete
dei CSIRT UE.
Rientra tra i compiti del DIS trasmettere annualmente al Gruppo di cooperazione una relazione
sulle notifiche ricevute - contenente numero e natura degli incidenti e le azioni intraprese da OSE e
DSP - e alla Commissione UE le informazioni per verificare l’attuazione della Direttiva NIS in Italia
(ogni due anni).
Se vuoi approfondire gli elementi normativi relativi alla sicurezza dei sistemi informativi e
informatici nel nostro Paese, fai pure riferimento ai seguenti documenti:
Introduzione
I reati informatici, o cybercrime, sono illeciti penali caratterizzati dall’utilizzo della tecnologia
informatica (e, in particolare, dei sistemi informatici o telematici) quale oggetto materiale del reato
oppure quale mezzo per commetterli.
Mentre per “Sistema Telematico” si intende l’insieme delle componenti informatiche collegate tra
di loro mediante una rete telematica.
• vedremo anche quali contromisure adottare per minimizzare i rischi di essere colpiti dai
cybercriminali
Trattasi di denaro proveniente da attività illecite quali, a titolo esemplificativo, phishing (es.
sottrazione illecita delle credenziali di ignare vittime per le operazioni di home banking) e skimming
(acquisizione del numero di carta e del PIN tramite la strisciata della carta di credito su di un
apposito apparecchio denominato skimmer).
La condotta posta in essere dai beneficiari dei bonifici online, corresponsabili della truffa, è punita
ai sensi dell’articolo 648-bis del codice di penale in quanto idonea a porre in essere un’attività di
riciclaggio di somme di denaro provento di reato.
L’articolo 640-ter del codice penale punisce la condotta di chiunque altera in qualsiasi modo il
funzionamento di un sistema informatico o telematico oppure interviene senza diritto con qualsiasi
modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o a
esso pertinenti, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Se poi il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più
soggetti o con abuso della qualità di operatore di sistema, si configura una circostanza aggravante.
A differenza della truffa, l’attività fraudolenta non investe una persona, di cui difetta l’induzione in
errore con artifizi o raggiri, bensì un sistema informatico o telematico.
• e/o interventi illegittimi su programmi, dati o informazioni ivi residenti (per esempio tramite
un virus).
VIRUS
Un Virus è un programma informatico composto da una serie di istruzioni finalizzate a eseguire poche e
semplici operazioni impiegando il minor numero di risorse, di modo da rendersi il più possibile invisibile.
La caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che
viene aperto un file infetto.
Un virus non è un programma eseguibile a sé stante, ma per essere attivato deve infettare un programma
ospite o una sequenza di codice che viene lanciata automaticamente, come ad esempio i virus che
sfruttano il boot sector che viene eseguito ad ogni avvio del dispositivo.
La tecnica solitamente usata dai virus è quella di infettare i file eseguibili (.exe) in cui il virus inserisce una
copia di sé stesso, ponendo tra le prime istruzioni un salto alla prima linea della sua copia e alla fine di essa
un altro salto all’inizio dell’esecuzione del programma originario. In questo modo quando un utente lancia un
programma infettato viene comunque assicurata l’esecuzione del programma stesso. L’utente non si
accorge che il virus è in esecuzione e sta svolgendo, a sua insaputa, le operazioni per il quale è stato
progettato.
Il virus, oltre ad auto-replicarsi, può procedere a una serie di operazioni estremamente dannose, che vanno
dalla semplice proposizione di messaggi (per esempio banner o popup non richiesti), all’apertura di
backdoor che possono consentire ai cybercriminali di accedere al computer, alla cattura di dati e
informazioni presenti su di esso, alla loro compromissione, fino ad arrivare alla loro distruzione!
Nel reato di frode informatica rientra anche la detenzione e l’uso di carte di credito clonate.
L’utilizzo di carte falsificate e la previa artificiosa captazione dei PIN di accesso integra l’ipotesi di
intervento «senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico o a esso pertinenti», in quanto permette di penetrare
abusivamente all’interno dei sistemi bancari o postali, alterando i dati contabili mediante ordini
abusivi di operazioni di trasferimento fondi o prelievi.
Le carte possono essere clonate anche tramite una tecnica denominata «skimming», che
consente di acquisire il numero della carta e il codice PIN con la semplice «strisciata» della carta
su di un apparecchio denominato «skimmer».
Questo tipo di reato è codificato e punito dall’articolo 640-ter del codice penale.
L’impersonificazione può essere totale o parziale, a seconda che si occulti totalmente la propria
identità (ad esempio mediante l’utilizzo indebito di dati relativi all’identità di un altro soggetto in vita
o meno) oppure parzialmente (se si utilizzano, in forma combinata, i dati relativi alla propria
persona e quelli di un altro soggetto).
Nel reato di sostituzione di persona rientra per esempio l’utilizzo di un account di posta elettronica
altrui tramite il quale il criminale si attribuisce, falsamente, le generalità di un diverso soggetto,
inducendo in errore l’utente nei confronti del quale tali generalità sono declinate, con il fine di
arrecare danno al soggetto le cui generalità sono state abusivamente spese.
Questo tipo di reato è codificato e punito all’articolo 494 del codice penale.
Mettiamo il caso di un cliente che si presenta all’ufficio postale per disconoscere delle operazioni
online, effettuate tramite l’APP PosteID.
Il cliente racconta che il suo cellulare ha smesso di funzionare e chiamando l’operatore telefonico
di riferimento ha saputo che la sua SIM era stata bloccata per smarrimento… anche questo è un
episodio disconosciuto dallo stesso cliente.
Per ridurre al minimo il rischio di essere vittime di un furto d’identità è bene conoscere e rispettare alcune
norme comportamentali. Vediamole insieme:
• MAI fornire tramite e-mail e/o telefonicamente dati riservati, come ad esempio password o numeri di
carta di credito;
• BISOGNA SEMPRE tenere aggiornati i software di protezione (antivirus, antispyware), il Sistema
Operativo e più in generale tutti i software installati sul computer, in quanto le più recenti versioni
dei browser non consentono più di contraffare le URL nella barra degli indirizzi;
• BISOGNA SEMPRE verificare l’autenticità della connessione con il sito di interesse (come ad
esempio quello dell’home banking), controllando il nome del sito nella barra di navigazione. Se fai
clic sull’icona del lucchetto o della chiave nella barra delle URL, puoi verificare la correttezza dei
dati visualizzati, leggendo il cosiddetto Rapporto di Sicurezza;
• SI DEVONO installare solo programmi di cui si conosce la provenienza. Se l’antivirus installato sul
computer segnala che la provenienza di un software è dubbia, NON procedere con l’installazione!
• SEGNALARE a chi di dovere ogni e-mail sospetta;
• MAI cliccare su link presenti in e-mail sospette, perché potrebbero condurti a siti contraffatti, anche
molto simili all’originale;
• MAI rispondere a e-mail che richiedono la verifica delle credenziali per l’accesso ai servizi finanziari;
• MAI inserire i propri dati di login cliccando direttamente sui link proposti all’interno di una e-mail.
Digita l’indirizzo del sito manualmente, in questo modo sarai certo di non incorrere in un sito
contraffatto;
• NON cancellare la sottoscrizione a una mailing list alla quale non ricordi di esserti iscritto. Potrebbe
trattarsi di un raggiro da parte di uno spammer per ottenere la conferma della validità del tuo
indirizzo e-mail!
• NON scrivere le tue password su fogli o biglietti che vengono lasciati incustoditi. Considera che
questo è uno degli errori più comuni che possono consentire ai cybercriminali di entrare in
possesso delle tue credenziali di accesso ai siti;
• NON bisogna MAI cedere a terzi le credenziali di autenticazione personali di accesso ai sistemi
informatici, come il nome utente, le password o le smartcard;
• MAI aprire allegati di e-mail ritenute sospette. È possibile che tali allegati, una volta aperti, installino
un malware che consente ai cybercriminali di accedere alle informazioni riservate presenti sul tuo
computer o anche di visualizzare tutto ciò che digiti sulla tastiera del computer, comprese le tue
password!
• PROTEGGI i documenti informatici contro i tentativi di falsificazione con gli strumenti di firma
digitale e crittografia, quando previsto;
• SEGNALA tempestivamente alle Autorità competenti i casi di furto d’identità, truffa e frode
informatica di cui sei stato vittima.
In Internet si possono configurare diversi fenomeni di violazione del diritto d’autore come:
Le stesse APP mobili, disponibili sui vari store (come ad esempio Google Play e Apple Store)
possono ledere un diritto d’autore. In alcuni casi una APP è un “website wrapper”, ossia
un’applicazione che incapsula al suo interno interi siti Internet. Come un qualsiasi browser (ad
esempio Internet Explorer, Google Chrome o Mozilla Firefox) consente di visualizzare il sito web
senza alterarne la fruizione ed i contenuti. Durante la navigazione sul portale di interesse,
l’applicazione website wrapper spesso fa visualizzare messaggi pubblicitari, tramite frame posti in
alto o in basso rispetto alla pagina visualizzata, il cosiddetto framing appunto.
Dal momento che questo vincola la visualizzazione dei contenuti di un sito ad elementi grafici
costanti, adibiti a cornice del sito web, esso integra una condotta contraria ai doveri di correttezza
professionale.
La tecnica del framing presenta gravi profili di illiceità ai sensi della disciplina della concorrenza
sleale, sfruttamento del lavoro altrui e per il rischio di ingenerare confusione negli utenti.
Senza contare che finisce per associare contenuti di qualunque genere al sito di interesse, con un
possibile danno di immagine per la società titolare del sito incapsulato dall’applicazione.
Ricorda che il layout di un sito gode di tutela come bene giuridico in sé, prescindendo dal
codice sottostante e dai contenuti della pagina web, quando possiede i connotati di
un’opera dell’ingegno, originale e innovativa.
Molte attività dei cybercriminali vengono condotte grazie all’utilizzo di software malevoli
genericamente chiamati malware.
I malware possono:
• alterarne il funzionamento
Vediamo alcuni recenti casi di malware, per comprendere l’entità dei danni che sono in grado di
causare.
Un attacco malware che ha colpito la rete a livello mondiale è stato lanciato nel 2017 e ha
coinvolto innumerevoli computer con Sistema Operativo Windows in oltre 100 Paesi del mondo…
Il malware, denominato WannaCry, appartiene alla famiglia dei ransomware, che hanno la
capacità di cifrare tutti i file, le cartelle condivise e i contenuti su chiavette o supporti esterni
agganciati al computer infettato.
Attuata la cifratura dei file non necessari all’avvio del computer windows, il malware mostrava una
schermata volta ad informare la vittima che avrebbe potuto recuperare i dati solo dopo aver pagato
un vero e proprio riscatto in valuta virtuale.
WannaCry è stato veicolato tramite link e allegati presenti in messaggi di posta elettronica o
software scaricati da siti di dubbia reputazione.
Una volta infettato un PC, era in grado di diffondersi automaticamente - all’insaputa della vittima -
anche su migliaia di computer!
Il 2017 ha visto anche la diffusione del malware “NotPetya”, che ha infettato innumerevoli
computer con Sistema Operativo Windows in oltre 60 Paesi del mondo.
Tra i soggetti danneggiati si evidenziano il gigante petrolifero russo Rosneft, la Banca centrale
ucraina e il sistema di monitoraggio delle radiazioni nella centrale nucleare di Chernobyl.
Anche NotPetya appartiene alla famiglia dei ransomware, ma è anche un worm. Infatti, rispetto a
Wannacry, sfruttava una vulnerabilità del Windows Management Instrumentation Command-line
(WMIC): uno strumento per la gestione dei sistemi da remoto.
L’attivazione del malware avveniva scaricando un allegato malevolo che, se aperto, lanciava
l’esecuzione di un dropper, ossia un software finalizzato a scaricare da Internet il malware vero e
proprio.
L’allegato in genere era un documento che veniva visualizzato normalmente. Una volta installato,
al riavvio del computer NotPetya si attivava e mostrava la schermata con la richiesta di riscatto.
Oggetto dell’attacco sono stati computer con varie versioni del sistema operativo Microsoft
Windows, per i quali non sono installate le patch di sicurezza sul protocollo di rete SMB
(«Server Message Block»), utilizzato per la condivisione di file!
WORM
Un worm (dall’inglese “verme”) è un programma opportunamente progettato per danneggiare l’utente ma,
contrariamente ai virus, non necessita di un programma ospite per funzionare, essendo esso stesso un
programma completo.
I worm sfruttano vulnerabilità o errori di configurazione del Sistema Operativo per propagarsi
autonomamente da un computer all’altro. Obiettivo dei worm sono i computer collegati ad altri computer,
tipicamente attraverso Internet. Una volta che il worm viene incautamente lanciato, può portare a
conseguenze dannose per l’utente: dall’accesso non autorizzato al dispositivo da parte di utenti
malintenzionati, alla perdita di dati confidenziali, alla totale compromissione del computer.
I casi di WannaCry e NotPetya ci fanno capire la portata dei danni che i malware possono
causare all’Azienda.
• perdite finanziarie.
Relativamente agli attacchi informatici, il rischio per l’azienda è che le proprie informazioni
vengano carpite, alterate, divulgate o anche distrutte creando un notevole danno. Un attacco
informatico può mirare anche al danneggiamento delle risorse aziendali, con l’obiettivo di
sabotarne il corretto funzionamento, causando, nei casi più gravi, l’interruzione dei servizi.
Per minimizzare i rischi del malware, attieniti a questi comportamenti, validi sia nella vita professionale che
in quella privata.
• ACCERTATI SEMPRE di aver installato un antivirus, che sia attivo e costantemente aggiornato;
• NON ESEGUIRE programmi ricevuti come allegati a e-mail senza averli preventivamente scaricati e
averli sottoposti a controllo antivirus;
• NON ESEGUIRE il download di file eseguibili se non ne conosci la fonte di provenienza e se non
sei stato espressamente autorizzato a farlo;
• durante la navigazione Internet e la lettura delle e-mail, DIFFIDA SEMPRE delle URL
particolarmente lunghe contenenti sequenze di valori esadecimali e delle dialog box che
propongono l’installazione di plug-in o applicativi vari, anche se firmati in modo digitale, di cui
l’autore è ignoto;
• PROVVEDI tempestivamente al cambio della password, anche solo nel caso tu abbia un sospetto
che la riservatezza delle tue credenziali di autenticazione sia compromessa;
• EFFETTUA backup periodici, al fine di minimizzare gli impatti derivanti da possibili perdite o
alterazioni di dati.
Un nostro cliente riceve sul suo smartphone una segnalazione che lo avvisa dell’avvenuto blocco
della sua carta Postepay, con l’indicazione di andare sul sito «www.sbloccareposteitaliane.com»
per eseguire la presunta procedura di sblocco della carta, facendo clic sul link incorporato nel testo
del messaggio.
Incautamente, il nostro amico clicca sul link inserito nel SMS che lo porta su un sito fasullo che
assomiglia a un sito istituzionale di Poste Italiane.
Ciò che ha tratto in inganno il nostro cliente è che il mittente ha inviato l’SMS inserendo al posto
del numero di telefono un SenderID specifico, cioè “PosteInfo”.
Quindi, nel momento in cui il cliente ha letto l’SMS, questo è stato incorporato tra i messaggi inviati
dal sender “PosteInfo”, che è lo stesso di Poste Italiane, confondendolo così con altri messaggi
legittimamente inviati da Poste.
Cosa avrebbe dovuto fare il nostro cliente per evitare di cadere nell’inganno?
Per evitare di essere tratti in inganno con il phishing o una delle sue varianti, occorre rispettare le seguenti
norme comportamentali:
• MAI FORNIRE tramite e-mail e/o telefonicamente dati riservati, come ad esempio password o
numeri di carta di credito;
• BISOGNA SEMPRE VERIFICARE l’autenticità della connessione con il sito di interesse (come ad
esempio quello dell’home banking), controllando il nome del sito nella barra di navigazione. Se fai
clic sull’icona del lucchetto o della chiave nella barra delle URL, puoi verificare la correttezza dei
dati visualizzati, leggendo il cosiddetto Rapporto di Sicurezza;
• MAI CLICCARE su link presenti in messaggi sospetti, che potrebbero condurre a siti contraffatti,
anche molto simili all’originale;
• MAI RISPONDERE a messaggi che chiedono la verifica delle tue credenziali per l’accesso ai servizi
finanziari;
• MAI INSERIRE i tuoi dati di login facendo clic direttamente sui link proposti all’interno di un
messaggio; piuttosto, digita l’indirizzo del sito manualmente per esser certo di non incorrere in siti
contraffatti;
• NON CANCELLARE la sottoscrizione a una mailing list alla quale non ricordi di esserti iscritto.
Potrebbe trattarsi di un raggiro da parte di uno cybercriminale per ottenere la conferma della validità
del tuo indirizzo e-mail;
• NON SCRIVERE la password su fogli e biglietti che vengono lasciati incustoditi. Considera che
questo è uno degli errori più comuni che possono consentire ai cybercriminali di entrare in
possesso delle tue credenziali di accesso ai siti;
• NON bisogna MAI CEDERE a terzi credenziali di autenticazione personali per l’accesso ai sistemi
informatici, come il nome utente, le password o la smartcard;
• MAI APRIRE allegati di messaggi che ritieni sospetti. È possibile che tali allegati, una volta aperti,
installino un malware che consente ai cybercriminali di accedere alle informazioni riservate presenti
sul tuo computer o anche di visualizzare tutto ciò che digiti sulla tastiera del computer, comprese le
tue password!
• PROTEGGI i documenti informatici contro i tentativi di falsificazione mediante gli strumenti di firma
digitale e crittografia quando previsto;
• SEGNALA tempestivamente alle Autorità competenti i casi di furto d’identità, truffa, frode
informatica di cui sei stato vittima.
Per individuare un messaggio di phishing occorre prestare attenzione ad alcuni elementi che possono
caratterizzarlo:
• il messaggio non è personalizzato e riporta una generica richiesta di informazioni personali, per
motivi non sempre ben specificati, come una generica scadenza, lo smarrimento o non meglio
specificati “problemi tecnici”;
• il messaggio non fa quasi mai riferimento al nome e cognome del destinatario, ma a un indirizzo di
posta elettronica, come ad esempio bianchi.m@poste.it;
• il messaggio ricorre a toni intimidatori (come la minaccia di blocco della carta o la sospensione
dell’account in caso di mancata risposta da parte del destinatario), per indurre nella vittima un
senso di urgenza e spingerla ad abbassare la guardia;
• il messaggio non sempre riporta una data di scadenza per l’invio delle informazioni da parte del
destinatario;
• il messaggio spesso contiene errori di ortografia e/o una forma grammaticale scorretta;
• il messaggio chiede di non rispondere al mittente, ma di fare clic sull’indirizzo o link indicato.
Nel caso di smishing che abbiamo appena visto, il messaggio iniziava con “Caro cliente” per poi parlare al
plurale: “Siete pregati…”.
Sinora abbiamo parlato genericamente di “truffe” a proposito di diversi illeciti penali informatici. È
giunto ora il momento di approfondire l’argomento.
In termini giuridici la truffa è “la condotta di chiunque, con artifizi o raggiri, inducendo taluno in
errore, procura a sé o ad altri un ingiusto profitto con altrui danno”.
Per “artifizio” si intende una trasfigurazione della realtà, effettuata sia simulando ciò che non esiste
(ad esempio la ricchezza, un titolo o una qualità) sia dissimulando ciò che esiste; mentre per
«raggiro» si intende una menzogna accompagnata da ragionamenti idonei a farla sembrare una
verità.
Il phishing può configurare un reato di truffa. Gli estremi del reato di truffa possono essere
integrati nella condotta di phishing così come quelli del reato di sostituzione di persona, di frode
informatica, di accesso abusivo a un sistema informatico o telematico o di falsificazione,
alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.
Rientra in questa tipologia di illecito informatico la cosiddetta “truffa del CEO”, tramite la quale il
cybercriminale usa tecniche di Business Email Compromise, spacciandosi per un top manager nel
testo delle e-mail.
L’obiettivo dei malintenzionati è fingere di essere un Top Manager per convincere il destinatario
dell’e-mail (es. figura executive dell’azienda) a trasferire fraudolentemente delle somme di denaro
verso un c/c gestito dal cybercriminale.
Alla luce della gravità delle minacce informatiche e nell’ambito del rapporto contrattuale con il
quale un’organizzazione demanda attività e trattamenti di dati personali a un fornitore, occorre
regolare e governare il processo di gestione degli Amministratori di Sistema esterni, laddove il
personale dipendente del fornitore medesimo abbia il compito di gestire e manutenere impianti di
elaborazione dell’organizzazione o loro componenti.
Tale Provvedimento continua ad applicarsi in quanto compatibile con il regolamento (UE) 2016/679
(regolamento generale sulla protezione dei dati) e con le disposizioni del decreto legislativo
numero 196/2003 e (il “Codice privacy”), secondo quanto previsto dal decreto legislativo numero
101/2018 di adeguamento della normativa nazionale.
Anche per quanto attiene gli Amministratori di Sistema interni, l’organizzazione è tenuta a
governare il processo di gestione delle nomine e revoche del personale con privilegi amministrativi
ed ogni altro adempimento connesso.
Per quanto riguarda il personale dipendente di Poste Italiane, diviene altrettanto fondamentale far
sottoscrivere al dipendente, che deve operare con privilegi amministrativi, l’apposito atto di nomina
ad Amministratore di Sistema.
Non bisogna infatti dimenticare che l’attribuzione delle funzioni di Amministratore di Sistema sia
per il personale interno (a cura di PI) che per il personale esterno (a cura del fornitore) deve
avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto
designato e previo rilascio di idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento, compreso il profilo relativo alla sicurezza.
Quindi, una designazione «a tappeto» di tutte le risorse di una struttura organizzativa come
Amministratori di Sistema è inappropriata.
L’atto scritto di designazione deve essere tarato sui privilegi amministrativi effettivamente conferiti
su precisi sistemi, applicazioni, reti o apparati. E non può essere basato su un’eventualità di
trattamento dati.
Le risorse con privilegi di amministratori di sistema devono accedere ai dati nel rispetto del
principio del “need to know”: accesso alle sole informazioni necessarie a svolgere il proprio
lavoro.
Un approccio volto alla nomina ad amministratore di sistema di tutte le risorse di una funzione
esporrebbe l’organizzazione a diversi rischi:
• un ruolo del fornitore contrattualmente errato, che non rispecchia i trattamenti e le attività
svolte all’interno dell’organizzazione. committente, con conseguente rifiuto da parte del
fornitore medesimo di essere assoggettato a controlli, istruzioni operative od obblighi in
materia di sicurezza.
In Poste Italiane la gestione degli adempimenti in materia di AdS che accedono ai sistemi a
perimetro della Direzione Sistemi Informativi è centralizzata nella funzione Sicurezza Informatica.
Per maggiori dettagli consulta la procedura operativa di Poste Italiane in vigore “Gestione
adempimenti di sicurezza in materia di Amministratori di Sistema, pubblicata nel Sistema
documentale aziendale, nel processo di Security management al seguente link:
http://dms.rete.poste/compendioprocedure/hse/SecurityManagement/Forms/AllItems.aspx.
4. Il Testo Unico
di Sicurezza aziendale
4. Il Testo Unico di Sicurezza Informatica
Introduzione
Il ruolo della Sicurezza Informatica applicata alla tutela del business è fondamentale per il
conseguimento degli obiettivi strategici e operativi di Poste Italiane, anche in considerazione della
criticità dei processi aziendali che dipendono da esso, uno fra tutti il processo di gestione dei rischi.
Una corretta ed efficace gestione della Sicurezza Informatica permette infatti di contenere i rischi
informatici cui Poste Italiane è esposta nello svolgimento quotidiano delle proprie attività e nel
contempo costituisce un elemento distintivo del servizio fornito al cliente finale, in grado di rendere
l’offerta commerciale maggiormente attrattiva.
A tale scopo Poste Italiane ha definito e introdotto un approccio sistemico per il governo della
sicurezza, sintetizzato nel documento «Testo Unico di Sicurezza» (disponibile sulla intranet e nel
Sistema Documentale Aziendale).
Si tratta di un approccio fondamentale per il conseguimento degli obiettivi stabiliti nel piano
strategico quinquennale “Deliver 2022”, approvato il 26 Febbraio 2018 dal CdA del Gruppo
Poste Italiane.
La Policy di Sicurezza Informatica, per indirizzare la gestione della sicurezza delle informazioni
detenute e trattate da Poste Italiane mediante strumenti informatici. La policy contiene anche le
risorse e i processi informatici necessari per la loro elaborazione, al fine di contenere il rischio di
compromissione della riservatezza, dell’integrità e della disponibilità delle informazioni stesse, sia
in un’ottica di tutela del business che di contrasto al cybercrimine.
La Metodologia di Analisi del Rischio Informatico, per formalizzare i passaggi necessari alla
conduzione delle attività di analisi e valutazione del rischio informatico e alla stesura dei requisiti
per l’indirizzamento delle successive attività di trattamento. L’analisi del rischio è finalizzata al
contenimento dei rischi di perdita di riservatezza, integrità e disponibilità delle informazioni trattate
dai sistemi informatici aziendali, garantendo una corretta distribuzione degli investimenti di
sicurezza, in linea con i profili di rischio identificati.
Le prescrizioni contenute nel Testo Unico sulla Sicurezza Informatica e negli allegati si applicano
alle funzioni di business e corporate di Poste Italiane e a tutte le Società del Gruppo.
Tutto il personale aziendale è responsabile della protezione e della conservazione dei beni
aziendali, materiali e immateriali, avuti in affidamento per l’espletamento dei propri compiti, nonché
del loro utilizzo in modo proprio e conforme ai fini aziendali.
Tale responsabilità si estende anche ai soggetti terzi che svolgono anche temporaneamente
attività di lavoro per l’Azienda (come i fornitori, i consulenti e i partner).
L’utilizzo delle risorse informative aziendali deve sempre ispirarsi ai principi di diligenza e
correttezza che sono alla base di ogni atto o comportamento posto in essere nell'ambito del
rapporto di lavoro, in coerenza con:
• quelle contrattuali (di cui all’articolo 51 del Contratto Collettivo Nazionale di Lavoro);
Poste Italiane, nei casi di abuso o di illeciti, anche riguardanti la disciplina della responsabilità
amministrativa dell’Azienda (in base alla Legge 231/2001), ha la facoltà di attivare ogni misura
volta a tutelare le risorse informative aziendali in coerenza con le previsioni di legge. Sono i
cosiddetti «controlli difensivi».
I domini del Modello di Information Security Governance rappresentano gli ambiti di applicazione
dei processi e delle attività funzionali al governo della sicurezza delle informazioni del Gruppo
Poste Italiane.
• Domini esecutivi che si occupano dei processi e delle attività di conduzione e gestione
operativa della sicurezza delle informazioni, che rendono esecutivi gli indirizzi strategici e li
attuano in coerenza agli standard tecnologici;
La Security Governance è finalizzata a garantire la coerenza delle iniziative intraprese a livello di Gruppo
in materia di gestione e trattamento dei rischi di sicurezza informatica, con gli obiettivi di sviluppo del
business.
• l’indirizzo strategico della Information Security, che si esplica attraverso la definizione degli obiettivi
della sicurezza delle informazioni di tutto il Gruppo, in coerenza con il piano strategico aziendale e
gli indirizzi strategici ICT;
• la Vigilanza e Controllo sulla Information Security, che si sostanzia in processi, flussi informativi e
indicatori prestazionali idonei a garantire la coerenza del modello di indirizzamento e governo,
nonché l’efficienza delle azioni intraprese per la gestione e il contenimento dei rischi di Sicurezza
Informatica.
Il dominio del Security Management svolge le attività finalizzate al coordinamento dei processi di gestione
della Sicurezza Informatica. Questo dominio definisce e applica le procedure operative per il conseguimento
degli obiettivi di gestione e trattamento dei rischi in accordo agli obiettivi del piano strategico della Sicurezza
Informatica Aziendale.
• l’Information Security Policy, per la definizione delle regole e degli obiettivi di sicurezza
dell’organizzazione attraverso l’emanazione e lo sviluppo evolutivo di politiche, linee guida,
procedure, metodologie e modelli applicabili al contesto organizzativo aziendale;
• l’IT Security Assessment, cioè l’attività periodica di verifica dello stato di sicurezza per rilevare
l’adeguatezza e il corretto svolgimento delle iniziative di sicurezza, stabilendo azioni correttive o
migliorative e le priorità degli interventi formulati nel “Piano Permanente di Sicurezza”;
• il Modello di gestione della sicurezza verso le terze parti, che definisce i requisiti contrattuali di
sicurezza per le Terze Parti e del modello di controllo del rispetto delle clausole di sicurezza.
Il dominio della Security Assurance è l’insieme delle attività volte a valutare la conformità e l’adeguatezza
dei processi in essere rispetto alle Normative, agli Standard, alle Best-Practice e alle Policy aziendali di
riferimento.
Le predette attività sono volte, altresì, a definire gli strumenti di lavoro, gli indicatori e le soglie di
accettabilità funzionali per i servizi offerti da Poste Italiane.
• la Security Evaluation, vale a dire le verifiche di conformità ai principali Standard, Normative, Linee
Guida, Policy aziendali in ambito sicurezza delle informazioni;
La Gestione Piani di adeguamento, che definisce e monitora i piani di rientro che emergono a seguito delle
verifiche di conformità.
• coordina l’attuazione delle attività per la riduzione dei rischi IT e assicura la definizione e
l’implementazione del Piano Permanente di Sicurezza, collaborando con le funzioni
deputate allo sviluppo del Piano di Trattamento dei Rischi;
• raccoglie e documenta i risultati complessivi del processo di analisi del rischio informatico;
• redige annualmente un rapporto sintetico sulla situazione del rischio informatico e sullo
stato della Sicurezza Informatica di Poste Italiane.
• garantire, in linea con le esigenze del business e l’applicazione del Modello di Information
Security Governance, le attività di progettazione, sviluppo, collaudo e esercizio,
assicurandone l’aderenza ai requisiti di conformità, sicurezza e IT risk management;
• contribuire alla definizione del livello di risk appetite, nelle varie fasi che costituiscono il
processo di gestione del rischio informatico;
Conclusione
Siamo dunque giunti alla conclusione di questo corso, ricco di informazioni e approfondimenti,
dedicato alla sicurezza informatica.
In questo nostro percorso abbiamo affrontato la questione della sicurezza informatica da diversi
punti di vista.
Ci siamo occupati degli aspetti normativi e delle implicazioni penali e civili della mancata
compliance con le leggi esistenti in materia di sicurezza informatica.
E abbiamo visto come Poste Italiane, tramite il suo testo Unico di Sicurezza Informatica, organizza
e sistematizza la Information Security, un compito certamente non facile per una azienda delle
nostre dimensioni ed importanza.
Le conoscenze che hai acquisito in questo corso ti consentiranno pertanto di lavorare con una
maggiore consapevolezza sui temi della Sicurezza informatica e nel rispetto degli standard di
Poste Italiane.