BACKUP
Con backup, nella sicurezza informatica, si indica un processo di disaster recovery ovvero, in particolare, la messa in sicurezza delle informazioni di un sistema informatico attraverso la creazione di ridondanza delle informazioni stesse (una o più copie di riserva dei dati), da utilizzare come recupero (ripristino) dei dati stessi in caso di eventi malevoli accidentali o intenzionali o semplice manutenzione del sistema. Un backup può anche risultare utile per proteggersi dai ransomware. Descrizione Il concetto di backup si applica a tutto ciò che è computer nel senso proprio del termine e quindi anche a, per esempio: navigatori satellitari, lettori audio o video, cellulari, smartphone e tablet, dispositivi elettronici vari contenenti software (ad esempio un banale cronotermostato casalingo). Per gli apparati il backup si applica pure alla configurazione (il file delle impostazioni e personalizzazioni): ad esempio un comune router o un firewall, ma anche il solito computer di bordo di un veicolo, o in ambito di rete, uno switch. Il processo di backup è un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, smarrimenti, attacchi da parte di malware, vulnerabilità presenti nel sistema, ecc., ci si assicura che esista una copia di sicurezza delle informazioni, assicurando quindi una ridondanza logico/fisica dei dati. Per copia di sicurezza (replica che assicura ridondanza) di informazioni s’intende comprendere (a seconda del piano): contenuti (file, cartelle, banche dati), proprietà hardware (configurazioni di apparati e dispositivi), applicazioni software (anche complesse come quelle relativi ai server), immagini di interi sistemi, istanze di servizi (ad esempio cloud). Maggiore è la complicazione dell’infrastruttura, maggiore è la vastità e articolazione del processo di backup, eseguito e ripetuto nel tempo. Disponendo di un software dedicato o incluso nel proprio sistema operativo l’esecuzione del backup può essere manuale, ossia lanciata dall’utente quando necessita, oppure impostata in maniera automatica: in questo secondo caso è l’applicazione che con una periodicità stabilita (per esempio una volta al giorno o alla settimana) fa partire il processo. Un’altra possibilità di programmazione è “su evento” (classico caso è in corrispondenza di installazione di nuovo software o quando qualche parametro hardware va oltre una soglia di allarme). Inoltre si possono stabilire altre particolarità avanzate se rese disponibili dal software utilizzato: selezione delle cartelle/file o dei volumi, tipo di file esclusi, e molte altre. Le applicazioni utilizzano spesso il termine job (lett. “lavoro”) o analoghi per indicare la specifica esecuzione, in un dato momento nel tempo (cronologia), di backup (programmata ovvero automatica o manuale/su richiesta): in pratica, una determinata sessione di backup. La maggior parte degli attuali sistemi operativi per personal computer integra un qualche programma di backup da configurare, ma solo i server appositamente equipaggiati contengono normalmente un servizio nativo automatico con relativa memoria dedicata. Il risultato di un backup eseguito tramite un software dedicato è sempre un file compresso, spesso con estensioni proprietarie ovvero non standard, eventualmente archiviato in cartelle variamente nominate e a volte accompagnato da altri piccoli file di configurazione. Nelle aziende il tipo di backup e la relativa periodicità sono solitamente regolati da una procedura aziendale soggetta a verifica periodica e ad altre procedure che comportano un intervento manuale. Il responsabile della sicurezza è tenuto ad annotare i controlli periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il backup normalmente devono essere di tipo e marca approvati nella procedura ed è necessario che siano periodicamente verificati e sostituiti. Devono inoltre essere conservati in accordo con le politiche di sicurezza aziendale, ma non solo, per questioni legate alla privacy. I sistemi di backup utilizzati dalle organizzazioni (imprese, enti, associazioni, scuole ed università) per mettere in sicurezza le loro reti sono ovviamente specifici (applicazioni, supporti, tipo, modalità, frequenza) per non parlare di quelli, estremamente critici, implementati dai data center e dalle server farm che ricorrono a complesse e dedicate architetture di disaster recovery. In questi ambienti, oltre ad avere elevatissimi livelli di efficacia (= disponibilità e affidabilità), occorre che il sistema di backup ripristini le funzioni anche in maniera estremamente efficiente (= velocità). Il cosiddetto piano di backup programmato consiste nella definizione di cosa salvare (dischi, database, cartelle, utenti, macchine, volumi, ecc.), frequenza, ora di avvio, supporto e percorso di archiviazione, tipo di backup (completo, differenziale, incrementale), modalità di compressione, tipo di log e messaggistica da esporre, tipo di verifica integrità, e molte altre opzioni a seconda della complessità del sistema.
CLOUD
Il cloud computing, in italiano nuvola informatica o servizi nella nuvola, indica un’erogazione di servizi offerti su richiesta da un fornitore a un utente finale attraverso la rete internet (come l’archiviazione, l’elaborazione o la trasmissione dati), a partire da un insieme di risorse preesistenti, configurabili e disponibili in remoto sotto forma di architettura distribuita. Descrizione Utilizzando vari tipi di unità di elaborazione (CPU), memorie di massa fisse o mobili come RAM, dischi rigidi interni o esterni, CD/DVD, chiavi USB eccetera, un computer è in grado di elaborare, archiviare e recuperare programmi e dati. Nel caso di computer collegati in rete locale (LAN) o geografica (WAN), la possibilità di elaborazione/archiviazione/recupero può essere estesa ad altri computer e dispositivi remoti dislocati sulla rete stessa. Sfruttando la tecnologia del cloud gli utenti collegati al fornitore possono svolgere tutte queste mansioni, anche tramite un semplice navigatore internet: ad esempio, possono utilizzare software remoti non direttamente installati sul proprio computer e salvare dati su memorie di massa in linea predisposte dal fornitore stesso (sfruttando sia reti via cavo che senza fili). Tipologie Il cloud computing si suddivide, a seconda del modello, in: cloud pubblico, quello per antonomasia; cloud privato quello erogato ad un cliente specifico (un’organizzazione con la sua ragione sociale e le sue sedi); cloud ibrido, soluzione mista di pubblico e privato ivi compreso un datacenter on premise; può essere anche cloud insieme a tecnologia P2P; multicloud, i servizi sono acquisiti dall’organizzazione utilizzatrice da almeno due provider distinti e autonomi (non siti diversi di un unico provider anche inteso come gruppo societario), in pratica due concorrenti (se fossero due società distinte dello stesso gruppo non sarebbe più multicloud vero). Un esempio di reale multicloud è un’organizzazione che usa come cloud provider Microsoft e Amazon e/o Google (il secondo provider potrebbe erogare anche solo il servizio di disaster recovery). Servizi Nonostante il termine sia piuttosto vago e sembri essere utilizzato in diversi contesti con significati differenti tra loro, si possono distinguere tre tipi fondamentali di servizi cloud: SAAS (software as a service) -Software as a service (acronimo SaaS, lett. “software come servizio”, in alcuni casi anche Pay Per Use – PPU cioè lett. “pagare per l’uso”) è un modello di servizio del software applicativo realizzato da un produttore che mette a disposizione un programma, direttamente o tramite terze parti, con modalità telematiche come ad esempio un’applicazione web. Consiste nell’utilizzo di programmi installati su un server remoto, cioè fuori del computer fisico o dalla LAN locale, spesso attraverso un server web; quest’acronimo condivide in parte la filosofia di un termine oggi in disuso, ASP (application service provider). Un’evoluzione del SAAS in ambito mobile è stata rilasciata nel maggio 2020 sotto il nome di Cloud Service Application (CSA); DAAS (data as a service) – con questo servizio vengono messi a disposizione via web solamente i dati, rendendoli disponibili in vari formati e ad applicazioni diverse come se fossero presenti sul disco locale. DaaS è cugino del SaaS Software as a Service e sempre più spesso l’unione di queste due tecniche offre ulteriori opportunità di realizzazione di servizi in rete per la gestione e la condivisione di dati, informazioni e modi di elaborazione degli stessi, ai quali gli utenti possono accedere tramite qualsiasi applicazione, come se fossero residenti su un disco locale; in pratica il DAAS non è basato sul concetto di server ma di storage (conservazione dati); HAAS (hardware as a service) – con questo servizio l’utente invia dati a un computer, che vengono elaborati da computer messi a disposizione e restituiti all’utente iniziale. A questi tre principali servizi possono esserne integrati altri: PAAS (platform as a service) – Invece che uno o più programmi singoli, viene eseguita in remoto una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, ecc. Tale servizio è tipico di alcune piattaforme utilizzate per sviluppare altri programmi, quali Amazon Web Services o Microsoft Azure o Oracle PaaS. Il paradigma multi-tenant è tipico delle architetture con tecnologia PaaS. IAAS (infrastructure as a service) – oltre alle risorse virtuali in remoto, vengono messe a disposizione anche risorse hardware, quali server, capacità di rete, sistemi di memoria e archivio. La caratteristica dell’IAAS è che le risorse vengono istanziate su richiesta o domanda al momento in cui una piattaforma ne ha bisogno. I clienti di fornitori di risorse in IaaS sono tipicamente imprese produttrici di soluzioni software che le erogano in SaaS ai loro clienti oppure organizzazioni che dimettonono completamente o parzialmente l’hardware on premises mantenendo solo i terminali per gli utenti.
GDPR
Il regolamento generale sulla protezione dei dati in sigla RGPD (o GDPR in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016,pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018. Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea (UE) e deiresidenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali,semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE. Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati(anche con sede legale fuori dall’UE) che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE)e,in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili. Obiettivi Il regime di protezione dei dati proposto per l’UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l’UE, facilitando così l’osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari.” A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza. Storia Pubblicato per la prima volta sulla Harvard Law Review nel dicembre del 1890, The Right to Privacy rappresenta la pietra angolare su cui poggia il GDPR, considerato al giorno d’oggi come il diritto fondamentale su cui si fonda la libertà individuale. Furono Samuel Warren e Louis Brandies, i due giovani avvocati americani autori del saggio, a definire per la prima volta la privacy come “the right to be let alone”: ovvero, il diritto a essere lasciati soli, a godere del proprio privato. In Italia non esiste nella Costituzione un articolo che riconosca il diritto alla privacy ma con la sentenza del 38/73 la Corte Costituzionale ha riconosciuto diverse norme che tutelano il diritto alla riservatezza. Possiamo dunque considerare la tutela della riservatezza come discendente per via interpretativa della Costituzione, in particolare dagli articoli 2,3,14,15. Con l’arrivo del digitale si percepisce l’importanza in Europa di norme che tutelino i dati personali, in particolare la legge 675/96, Codice Privacy successivamente sostituita dalla legge 196/2003 tuttora in vigore. La rivoluzione arriva con il regolamento GDPR 2016/679.
NIS2
La Direttiva NIS2, entrata in vigore a metà ottobre e recepita in Italia con apposito decreto legislativo (D. Lgs n. 138/2024), mira a rafforzare la sicurezza informatica e la resilienza operativa digitale delle organizzazioni che offrono servizi all’interno dell’Unione Europea in specifici settori (chiamati “settori ad alta criticità” e “altri settori critici”). La Direttiva sostituisce la precedente del 2016, ampliando il suo ambito di applicazione e introducendo requisiti più stringenti per la protezione delle reti e dei sistemi informativi. Se da un lato la compliance alla NIS2 è obbligatoria per motivi di sicurezza, dall’altro offre alle imprese l’opportunità di: incentivare l’innovazione interna, modernizzando la propria infrastruttura IT e aumentando la sicurezza e l’efficienza dei processi; rafforzare la credibilità aziendale e la fiducia di clienti e partner; potenziare la competitività e accedere a mercati più ampi. A chi si applica la Direttiva NIS2 La Direttiva obbliga le organizzazioni pubbliche e private, che operano in 18 settori considerati particolarmente rilevanti (perché ritenuti fondamentali per il funzionamento della società e dell’economia europea), ad alzare i loro livelli di sicurezza informatica. L’ACN (Agenzia per la Cybersicurezza Nazionale) nominata autorità italiana competente per l’applicazione della Direttiva dal decreto legislativo di recepimento, ha individuato questi settori critici in conformità alla Direttiva stessa, tra cui: energia trasporti sanità infrastrutture digitali (data center, cloud, telecomunicazioni) servizi ICT Pubblica Amministrazione Per quanto riguarda le organizzazioni private, sono obbligate ad adeguarsi solo le imprese di grandi e di medie dimensioni. Per le piccole e microimprese invece dipende dalla loro rilevanza nel settore di riferimento. Le organizzazioni interessate dalla NIS2 devono implementare misure tecniche, operative e organizzative appropriate per gestire i rischi legati alla sicurezza informatica, tra cui: attuazione di misure per la gestione dei rischi e la protezione dei sistemi da vulnerabilità e minacce cibernetiche emergenti; obbligo di notifica degli incidenti con impatti significativi entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata; le notifiche andranno fatte al competente CSIRT Italia (Computer Security Incident Response Team), la struttura interna all’ACN che ha la responsabilità di monitorare, intercettare, analizzare e rispondere agli incidenti informatici; adozione di misure di sicurezza avanzate, come ad esempio l’autenticazione multifattore, la crittografia e la cifratura, per aumentare la protezione dei dati e prevenire accessi non autorizzati; formazione continua degli organi apicali delle imprese coinvolte (organi di amministrazione e organi di direzione), e promozione della formazione di tutto il personale coinvolto, allo scopo di creare, in ottica preventiva, una cultura aziendale della sicurezza. Il dettaglio degli obblighi e delle misure sarà definito da ACN nel corso del 2025 e, secondo la timeline condivisa dalla stessa Agenzia, l’implementazione dei nuovi obblighi sarà graduale e progressiva: i nuovi obblighi di notifica si applicheranno da gennaio 2026; le nuove misure di cybersicurezza dovranno essere implementate a partire da settembre 2026. Il portale dell’ACN per la conformità a NIS2 (www.acn.gov.it) , portale per la registrazione delle organizzazioni cui si applica la Direttiva NIS2.
VPN
Una rete privata virtuale è una rete privata, instaurata come connessione tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso, come ad esempio la suite di protocolli Internet.Una rete privata virtuale è una rete privata, instaurata come connessione tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso, come ad esempio la suite di protocolli Internet. Scopo delle reti VPN è quello di offrire alle aziende, a un costo minore, le stesse possibilità delle linee private a noleggio, ma sfruttando reti condivise pubbliche: si può vedere dunque una VPN come l’estensione a livello geografico di una rete locale (LAN) privata aziendale sicura che colleghi tra loro siti interni all’azienda stessa variamente dislocati su un ampio territorio, sfruttando l’instradamento tramite IP per il trasporto su scala geografica e realizzando di fatto una rete LAN, detta appunto “virtuale” e “privata”, equivalente a un’infrastruttura fisica di rete (ossia con collegamenti fisici) dedicata. Vantaggi della VPN con ENDIAN Estende la connettività geografica Migliora la sicurezza dove le linee di dati non sono state criptate Riduce i costi di operazione Riduce il tempo di transito e i costi di trasporto per i clienti remoti VPN basato su Openvpn e IPSEC Ideale per telelavoro e collegamenti fra sedi della stessa azienda Avanzati protocolli di crittografia Firewall, antivirus, prevenzione delle intrusioni
PROXY
In informatica e telecomunicazioni indica un tipo di server che funge da intermediario per le richieste da parte dei client alla ricerca di risorse su altri server, disaccoppiando l’accesso al web dal browser. Un client si connette al server proxy, richiedendo qualche servizio (ad esempio un file, una pagina web o qualsiasi altra risorsa disponibile su un altro server), e quest’ultimo valuta ed esegue la richiesta in modo da semplificare e gestire la sua complessità. I proxy sono stati inventati per aggiungere struttura e incapsulamento ai sistemi distribuiti. Ad oggi, i server proxy vengono utilizzati per svariati impieghi come: Fornire l’anonimato durante la navigazione Internet (es. sistema TOR) Memorizzare una copia locale degli oggetti web richiesti in modo da poterli fornire nuovamente senza effettuare altri accessi ai server di destinazione (HTTP caching proxy) Creare una “barriera di difesa” (Firewall) verso il web, agendo da filtro per le connessioni entranti ed uscenti e monitorando, controllando e modificando il traffico interno Alcuni server proxy implementano un requisito di accesso (log-in). Nelle grandi aziende, gli utenti autorizzati devono effettuare l’accesso prima di poter accedere al web. In tal modo, i datori di lavoro possono monitorare l’utilizzo di Internet da parte degli impiegati. Tipologie di Proxy Anche conosciuto come Intercepting proxy, inline proxy o forced proxy, un proxy detto trasparente intercetta la comunicazione a livello di rete (livello 3 della pila ISO/OSI) senza richiedere alcuna configurazione del client. I client non necessitano di essere a conoscenza dell’esistenza di questo proxy. Solitamente è allocato tra i client e Internet eseguendo alcune funzioni del gateway o del router. Un proxy trasparente è un proxy che non modifica le richieste o le risposte al di là di ciò che è necessario per l’autentificazione e l’identificazione Un proxy non trasparente è un proxy che modifica le richieste e/o le risposte con lo scopo di fornire alcuni servizi aggiuntivi allo user agent