SCIENZE E TECNOLOGIE INFORMATICHE

Se si protegge un documento, un foglio di calcolo, un file compresso con una password, per riaprire il documento è necessario fornire la password corretta. I dati cifrati non possono essere letti senza la chiave d’accesso e solo il proprietario o il destinatario autorizzato del file può leggere il messaggio.
Chiaramente è fondamentale che la password sia conservata dal proprietario in modo sicuro e che possa essere facilmente ritrovata dallo stesso in caso di bisogno.
La sicurezza dei dati protetti attraverso la crittografia dipende non solo sulla forza del metodo di crittografia, ma anche sulla forza della propria password, compresi fattori quali la lunghezza e la composizione della password e le misure che si prendono per assicurarsi che la password non sono comunicati a terzi non autorizzati.

I programmi di compressione permettono, tramite opportune tecniche, di ridurre le dimensioni dei file.
Esistono vari programmi di questo tipo: WinZip, WinRar,Tar.Gz, 7zip ecc.
Nel programma WinZip, nella versione dotata di funzioni di cifratura, selezionare Crittografa nella scheda Crea/Condividi.

Sempre nella scheda Crea/Condividi fare clic sul pulsante Da Pc o Cloud per aggiungere a WinZip i file da comprimere.

Fare clic su Aggiungi. Dopo un avviso relativo ai vantaggi e svantaggi dei metodi di crittografia, appare la finestra per inserire la password.

Scegliere una password e reinserirla una seconda volta. Fare clic su OK. Quando si apre il file compresso appare la finestra di richiesta della password per decriptare il file.

È possibile proteggere un documento o un foglio di calcolo dall’apertura e/o dalla modifica mediante una password. Abbiamo già visto, nei capitoli precedenti, le caratteristiche che deve avere una password. Aggiungendo a un documento una password di apertura non sarà possibile aprirlo se non si digita la password corretta. Aggiungendo una password di modifica sarà possibile aprire il documento senza digitare la password, ma esso verrà aperto in sola lettura.

Per aggiungere una protezione mediante password a un documento o foglio di calcolo, per i programmi Microsoft Office, dal pulsante Office (versione 2007) o dal menu File (per la versione 2010), si sceglie il comando Salva, o Salva con nome se il documento era già stato salvato in precedenza.

Dal menu Strumenti, selezionare la voce Opzioni generali. Appare la finestra per impostare le password di apertura e di modifica.

A questo punto si può digitare una password di apertura e/o una password di modifica del documento. Verrà richiesta la conferma delle password.

Eventualmente, si può selezionare la casella Consigliata sola lettura: in questo modo all’apertura del documento verrà visualizzato un messaggio che ne consiglia l’apertura in sola lettura. Se si modifica il documento aperto in sola lettura, sarà necessario salvarlo con un nome diverso. È possibile selezionare la casella Consigliata sola lettura senza impostare alcuna password.
Altre impostazioni di protezione sono presenti nel pulsante Office con la voce Prepara.

Scegliendo la voce Crittografa documento appare la finestra per inserire la password.

Il documento protetto da password viene crittografato con specifiche tecniche in modo che sia illeggibile da chi non è in possesso del codice di accesso.
Nel caso di software libero, come Libreoffice, la procedura per proteggere un documento è simile. Una volta aperto il file da proteggere, si sceglie Proprietà dal menu File.

Nella scheda Sicurezza fare clic sul pulsante Proteggi.

A questo punto si può inserire e confermare la password da applicare. Si può impostare la protezione con password anche con il comando Salva con nome.

Attivare/disattivare le impostazioni di sicurezza delle macro.
Una macro è un insieme d’istruzioni che il computer interpreta una dopo l’altra e traduce in azioni operative, né più né meno come se fossero state impartite manualmente da noi. Una macro può essere eseguita indefinitamente tutte volte che si desidera, e pertanto si rivela una ottima soluzione per automatizzare una volta per tutte l’esecuzione di procedure ricorrenti. Le applicazioni pratiche delle macro sono solo da immaginare: la stampa di una tabella, la formattazione di un documento, la creazione di un grafico, la ricerca di particolari valori, ecc.
Le macro, nel caso delle applicazioni Microsoft Office come Word, Excel, Access, sono scritte nel linguaggio Visual Basic for Application (VBA).

La sua funzione è quella di rendere programmabili questi applicativi, allo scopo di personalizzarli a seconda delle esigenze specifiche dell’utente.
Le macro generate per un file sono parte integrante del file. Il sistema operativo Windows visualizza l’icona dei file con macro in modo diverso dagli altri.

Hanno un punto esclamativo che le contraddistingue e un’estensione diversa (xlsm).

Abbiamo già visto che l’icona di un file con macro presenta un punto esclamativo, per porre attenzione sulla diversità rispetto ai file “normali”.
Quando si apre un file con macro il programma ci avvisa della presenza di questo codice con un avviso di protezione nella barra di notifica.

programmi Office, per impostazione predefinita, disattivano le macro presenti in un file. È una questione di sicurezza. Non conoscendo a priori il contenuto delle macro presenti, se sono “sicure” o se è codice “pericoloso” (per questo l’icona del file ha il segnale di attenzione) scritto per creare dei danni, si decide di disabilitare il codice.
Se si è sicuri del contenuto della macro, ad esempio perché è stata scritta dal proprietario del file, si può abilitare il codice con il pulsante Opzioni.

Le macro abilitate possono essere eseguite, Chiaramente, nel caso di macro di provenienza non nota o se l’autore delle macro non è attendibile, questa esecuzione potrebbe comportare dei danni al computer.

1. Con “Disponibilità dei dati” si garantisce l’assenza di modifiche non autorizzate nel file
   a. No, è la possibilità di accedere ai dati
   b. È corretto
   c. Dipende dal tipo di dati
   d. No, garantisce l’assenza di modifiche autorizzate
2. Una password, per essere efficace, deve essere formata da una combinazione di lettere, numeri e caratteri speciali.
   a. No, solo lettere
   b. No, solo numeri
   c. No, solo caratteri speciali
   d. È vero
3. I dipendenti di una azienda devono essere messi a conoscenza dei rischi di frode di identità aziendale.
   a. È falso
   b. È vero
   c. Solo i quadri dirigenziali
   d. Solo gli addetti ai terminali

Vista l’importanza dell’argomento, ci sono delle specifiche linee guida e politiche per l’uso dell’ICT, delle regole chiare che forniscono uno standard che deve essere seguito dagli utenti e disciplinano l’utilizzo delle tecnologie informatiche e delle telecomunicazioni (ICT) per preservare i dati, personali e aziendali, dal furto, dallo smarrimento e da un utilizzo non consentito. Assicurano una posizione chiara su come dovrebbe essere usata l’ICT per assicurare la protezione dei dati aziendali. In questo modo le aziende (come i privati) possono tutelarsi e devono, a loro volta, tutelare i propri dipendenti, clienti e fornitori.
Alcune di queste linee sono:
 Non lasciare che i dettagli dei principali conti aziendali siano di pubblico dominio, così che i frodatori possano ottenere dettagli sufficienti per intaccarli.
 Predisporre un’accurata politica di gestione e archiviazione dei documenti: è il primo passo per proteggere l’azienda e i dipendenti contro il furto di identità.
 Distruggete tutti i documenti riportanti dati sensibili: le aziende hanno il dovere di conservare e proteggere le informazioni dei propri clienti e dei propri dipendenti oltre che l’obbligo. Abbiamo visto che in Italia è in vigore il Decreto Legislativo n. 5 del 9 febbraio 2012 che dichiara che “chiunque per motivi professionali conserva o tratta dati sensibili altrui (e quindi, tutte le organizzazioni, le aziende, gli enti pubblici, i professionisti …) è soggetto alle cautele e agli obblighi previsti dalla legge in quanto responsabile civilmente e penalmente anche in modo oggettivo di ogni danno cagionato al titolare o a terzi da un trattamento non corretto; il trattamento dei dati è considerato un’ attività pericolosa e come tale gode dell’inversione dell’onere della prova (art. 2050 Codice Civile): è il responsabile del trattamento dei dati che ha l’onere di dimostrare il corretto utilizzo per evitare di incorrere in sanzioni civili e penali. L’ufficio del Garante della Privacy può richiedere alle autorità di polizia di effettuare controlli e le sanzioni per il mancato rispetto della legge possono arrivare a 80.000 euro (articoli da 161 a 172 del decreto). La legge elenca 17 possibili operazioni di trattamento dei dati. In particolare, i dati su supporti cartacei o multimediali una volta cessato il trattamento devono essere distrutti

(art. 16, c. 1-a). Distruggere i supporti, cartacei e non, è infatti il modo migliore per evitare che i criminali possano avere accesso ai dati sensibili.
 Mettere i dipendenti a conoscenza dei rischi di frode di identità aziendale: questo può garantire che rimarranno vigili.
 Assicurarsi che la procedura di gestione dei documenti sia comunicata e correttamente eseguita da tutti i dipendenti. Fare in modo che siano cauti nel fornire le informazioni dell’azienda on-line o via telefono, verificando con chi effettivamente hanno a che fare.
 Assicurarsi che il sistema operativo antivirus e firewall (che vedremo nei capitoli successivi) siano tenuti aggiornati. In questo modo i dipendenti possono aprire in sicurezza gli allegati delle e-mail ricevute.

Nel gennaio 2012, la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali, in sostituzione della direttiva 95/46/CE valida per i 27 stati membri dell’Unione Europea e una direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).
In accordo con questo regolamento sulla protezione dei dati personali in Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha preso il posto del precedente Dlgs 196/2003.
Il decreto contiene un articolato pacchetto di interventi volto ad alleggerire il carico degli oneri burocratici gravanti sui cittadini e sulle imprese, con una semplificazione delle procedure amministrative, ad esempio per il cambio di residenza, comunicazioni di dati tra le amministrazioni, partecipazione a concorsi, ecc.

La legge è stata aggiornata con il testo del Regolamento generale sulla protezione dei dati, anche noto come GDPR (General Data Protection Regulation) approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e applicabile a decorrere dal 25 maggio 2018.

In estrema sintesi col GDPR:

• Si introduce il concetto di responsabilizzazione o accountability del titolare;
• Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
• Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
• Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
• Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
• Si introducono regole più chiare su informativa e consenso;
• Viene ampliata la categoria dei diritti che spettano all’interessato;
• Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

1. La designazione in tempi stretti del Responsabile della protezione dei dati;
2. L’istituzione del Registro delle attività di trattamento;
3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

Data breach Gdpr

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

1. Riferisce direttamente al vertice,
2. E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
3. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale.
4. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

Riassumendo, i dati personali e/o riservati per essere sicuri, devono avere un alto fattore di confidenzialità, cioè devono essere protette da accessi o divulgazione non autorizzati.
Queste protezioni non devono comunque essere di ostacolo all’integrità dell’informazione, la quale deve essere affidabile cioè integra, completa, senza modifiche rispetto all’originale.
È fondamentale poi la disponibilità dell’informazione al momento del bisogno: non avrebbe senso esasperare la sicurezza dei dati se poi, quando servono, per qualche motivo non si riesce a recuperarli nei tempi necessari.

Abbiamo visto come sia essenziale proteggere i dati riservati, propri o altrui. Esistono, come vedremo più in dettaglio nei capitoli successivi, specifiche tecniche che possono essere applicate in via preventiva, per impedire l’accesso ai dati. Il metodo più usato è l’utilizzo di Password: sono stringhe di caratteri usate per l’autenticazione dell’utente, per dimostrare l‘identità o ottenere l’accesso a una risorsa.
Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente, verifica la corretta, o almeno presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione.
La forma di autenticazione più semplice si fonda sull’utilizzo di un nome utente (per identificare l’utente) e di una password (o parola d’ordine, per autenticare l’utente).
L’autenticazione tramite nome utente è password è ormai molto diffusa nell’ambiente delle reti e di internet: per accedere alla propria postazione di lavoro in una rete aziendale o addirittura al proprio pc, per accedere alla posta elettronica in remoto, per le operazioni di home banking, per accedere a servizi di messaggistica istantanea, ecc. è sempre necessaria l’autenticazione.
Il motivo è ovvio. Il sistema a cui si vuole accedere deve essere sicuro che l’utente è proprio quello che ne ha il diritto.
Se per il nome utente non ci sono raccomandazioni particolari, può essere un nome di fantasia semplice da ricordare, la password deve essere scelta in modo oculato, non deve essere comunicata ad altre persone e, in casi di dati riservati o importanti, deve essere cambiata con regolarità.
Come deve essere una password?
La password deve essere lunga a sufficienza, composta da lettere, numeri e caratteri speciali e soprattutto non facilmente associabile alla vita dell’utente: quindi non il proprio nome, cognome, soprannome, data di nascita, indirizzo, ecc.
Ci sono tecniche che impediscono l’utilizzo dei dati se, nonostante le misure preventive, qualcuno sia venuto in possesso di queste informazioni. La Crittografia analizza come “offuscare” un messaggio in modo che non sia comprensibile a persone non autorizzate a leggerlo.

Un tale messaggio si chiama crittogramma e le tecniche usate per rendere incomprensibile il messaggio si chiamano tecniche di cifratura. La crittografia è utilizzata in tutti gli ambiti dove è necessaria la segretezza delle informazioni: informazioni militari (soprattutto in caso di conflitti), informazioni bancarie riservate, comunicazioni tra Stati, spionaggio, ecc. Esistono metodi di crittografia molto sofisticati per l’importanza dei dati che devono trattare.

1. L’ingegneria sociale comprende solo tecniche informatiche online.
   a. Falso, comprende solo tecniche informatiche ma non online
   b. Falso, comprende solo tecniche online ma non informatiche
   c. Vero
   d. Falso
2. L’ingegneria sociale comprende:
   a. azioni telefoniche
   b. azioni con contatto “fisico”
   c. azioni on line
   d. tutte le risposte sono corrette
3. Quali delle seguenti tecniche non fa parte dell’ingegneria sociale?
   a. Pishing
   b. Dialer
   c. Shoulder surfing
   d. Telefonate