Discussione:Sicurezza informatica
 | Questa voce rientra tra gli argomenti trattati dai progetti tematici sottoindicati. Puoi consultare le discussioni in corso, aprirne una nuova o segnalarne una avviata qui. | ||||||||
| |||||||||
 | La voce è stata monitorata per definirne lo stato e aiutarne lo sviluppo. Ha ottenuto una valutazione di livello sufficiente (ottobre 2010). | |||||||||
| ||||||||||
| Monitoraggio effettuato nell'ottobre 2010 | ||||||||||
| Sicurezza informatica | |
|---|---|
| Argomento di scuola primaria | |
| Materia | tecnologia |
| Argomento di scuola secondaria di I grado | |
| Materia | informatica |
| Dettagli | |
| Dimensione della voce | 45 369 byte |
| Progetto Wikipedia e scuola italiana | |
Sicurezza nelle aziende[modifica wikitesto]
Buongiorno, alcune considerazioni sulla parte Sicurezza nelle aziende. Secondo me il paragrafo, così com'è, è fuorviante. Ci sono alcune imprecisioni e mi sembra, tutto sommato, capzioso. L'applicazione del 27001 non protegge i dati dalle minacce (magari...), si tratta di un insieme di controlli volti a garantire che un singolo processo (e non tutto l'apparato di information security system) sia a norma ISO. Inoltre si tratta di uno standard che ha alle spalle un discreto business e, a mio avviso, non è una voce da inserire in wikipedia (non nei termini nei quali è inserita nell'articolo, basterebbe il link correlato a fine pagina). Infine è vero che le aziende hanno precisi obblighi in materia di privacy, ma sono obblighi derivati dalla legge 196 o da altre raccomandazioni a livello europeo (Basilea 2, ad esempio) e non è certo per indirizzare tali obblighi che è stato definito lo standard ISO; per essere precisi non è nemmeno stato approvato in ambito comunitario (non è una norma europea, gli standard ISO sono prodotti a tutti gli effetti, venduti anche a caro prezzo). A questo si affianca il tono perentorio del paragrafo (ad esempio "minacce di ogni tipo": chi lavora in sicurezza sa che non si può essere sicuri al 100%). Propongo di spostare l'intervento in discussione per evitare di diffondere ulteriormente il falso senso di sicurezza che già il 27001 si porta dietro. Sottolineo che questo è il mio punto di vista, attendo eventuali spunti per continuare la discussione.
- La sezione sulla quale ha posto la propria attenzione l'utente anonimo che ha aperto la presente discussione non contiene alcun errore o imprecisione:
- non c'è scritto che l'applicazione del 27001 protegge i dati dalle minacce, ma che tale standard ha come obiettivo la protezioned dei dati ecc. (di inviolabile non c'è quasi nulla, ma vi sono precauzioni che è meglio adottare);
- business legati agli standard: anche le normative sulla sicurezza nei luoghi di lavoro (legge 626) e decine e decine di altri provvedimenti... generano anche potenziali business, ma ciò non toglie che meritino di essere comtemplate in un'enciclopedia (come è wikipedia);
- da nessuna parte nell'articolo si dice che l'applicazione dello standard citato corrisponda a una norma cogente, ma non si può nemmeno definire "un prodotto a tutti gli effetti";
- più in generale, la voce nel suo complesso (e quelle correlate) sviluppano piuttosto bene la materia della sicurezza informatica e togliere la sezione in oggetto costituirebbe un'immotivata privazione di informazioni. Microsoikos 19:18, 8 ago 2006 (CEST)
- Ciao, scusa non ho firmato il precedente intervento (firmerò questo). Mi trovo abbastanza in disaccordo (ma questo non vuol dire che abbia ragione), avendo utilizzato gli strumenti di cui si parla nell'articolo. A mio avviso non sono argomenti che sviluppano il tema. Comunque:
- Obiettivo dello standard è quello di definire una serie di controlli per implementare un ISMS applicato ad un solo determinato processo aziendale;caratteristica del processo è che questo manipoli dei dati o che abbia a che fare con strutture che manipolino dei dati. In sicurezza informatica, si cerca di mettere in sicurezza le entità che utilizzano i dati più che il dato stesso.
- Sì d'accordo, ma la modalità con cui è stato citato lo standard 27001 (le aziende hanno precisi obblighi in materia di privacy, ecc.) mi fa pensare ad un intervento volto a sollevare l'interesse di chi legge... Inoltre il 27001 non contempla le leggi sulla privacy vigenti in Italia, per cui non è nemmeno lo strumento principale su cui basarsi per adempiere agli obblighi di legge. Chiaro che applicando alla lettera i controlli definiti nello standard, si ottiene un ambiente abbastanza simile a quello richiesto dalla legge, ma non è vero che la certificazione ISO 27001 può essere utilizzata al posto, ad esempio, del documento programmatico di sicurezza (cosa che sembra trasparire dall'articolo).
- Beh, la frase "ed è stato approvato in ambito comunitario" non lascia spazio a molti dubbi, sembra una normativa europea, cosa che non è. Dal momento che si tratta di norme dettate dal buon senso che qualcuno ha avuto la briga di ordinare e catalogare (l'istituto British Standards), quello che ne ottieni sono una trentina di pagine di controlli vedute sul sito dell'ISO. Io lo ritengo un prodotto. Gli stessi concetti sono riportati in qualsiasi testo che tratti ad ampio respiro di sicurezza informatica. L'ISO 27001 è un documento, ma soprattutto enti certificatori e certificatori.
- No, purtroppo no. Citando uno standard, nemmeno aperto che non può essere rintracciato se non pagando 300/600€ (dipende se si vogliono o meno entrambe le parti), senza citare quale sarà il futuro di tale standard, senza dare indicazioni di come è composto lo standard non è uno sviluppo del tema di sicurezza informatica.
- Lieto di vedere, comunque, che la sezione non è proprio abbandonata, come sembrava negli ultimi tempi. --rh 12:10, 9 ago 2006 (CEST)
Personalmente concordo con quanto affermato dall'utente "Rh". L'articolo, così come è scritto, fa a mio avviso apparire l'ISO 27001 come un obbligo di legge mentre invece, ma su questo mi sembra concordiate, non lo è affatto. Come noto infatti l'ISO 27001 è soltanto un insieme di "best practice". Ma soprattutto l'ISO 27001 ha l'obiettivo di certificare un certo sistema per la protezione dei dati e non di proteggere i dati come invece ritengo lasci intendere l'articolo così come è scritto! Inoltre il fatto di dire che l'ISO 27001 è un prodotto comunitario lascia chiaramente intendere a chi legge che sia un prodotto della Comunità Europea e non, come invece è, un prodotto nato in Europa. Ritenendo vero che un prodotto "comunitario" sia soltanto un prodotto Europeo allora ogni prodotto fatto in Europa è un prodotto "comunitario" mentre invece l'aggettivo "comunitario" viene di norma inteso come proveniente o appartenente alla Comunità Europea. Trovo inoltre doveroso aggiungere all'articolo che l'ISO 27001 sia un prodotto commerciale, cose che non traspare affatto allo stato di stesura attuale.
Sono spiacente, ma personalmente ci sono due punti sui quali non concordo:
- non traspare affatto che l'ISO in questione rappresenti un obbligo (e del resto anche le altre certificazioni ISO di norma non sono obbligatorie ma rappresentano un'opportunità)
- non si tratta di un prodotto commerciale ma di uno standard approvato in sede comunitaria. Microsoikos 20:04, 9 ago 2006 (CEST)
- Ok, può andarmi bene, non traspare che sia un obbligo. ISO 27001, comunque, non è una spiegazione della sicurezza informatica, tant'è vero che se guardi l'omologo articolo inglese lo standard è citato solo nei link.
- Sede comunitaria per me è l'Europa. Lo standard è stato sottoposto ai seguenti paesi (prendo dal testo ISO): Australia, Austria, Belgium, Brazil, China, Czech Republic, France, Germany, India, Italy, Japan, Kenya, Rep. of Korea, Luxembourg, Malaysia, The Netherlands, Norway, Poland, Russian Federation, Singapore, South Africa, Spain, Sweden, Switzerland, Ukraine, United Kingdom, United States. Come puoi vedere si va ben oltre alla Comunità Europea.
In sicurezza informatica si parla di prodotti e di processi. I primi racchiudono tutte le soluzioni che possono indirizzare i processi di modo che siano coerenti con le regole elementari di sicurezza informatica. Da questo punto di vista, lo standard è un prodotto. L'articolo sulla sicurezza informatica dovrebbe invece dare indicazioni su cosa significhi implementare un processo sicuro.--rh 10:48, 10 ago 2006 (CEST)
- sono casualmente incappato in questa interessante discussione e aggiungerei (per Microsoikos sopratutto) che cio che ha detto "Rh" subito sopra, forse passato un po' sottogamba, è di fondamentale importanza. Praticamente chi x chi si occupa di sicurezza informatica (e non fa marketing) è un mantra: ovvero "la sicurezza e' un processo". Con estrema sintesi vuol dire che la sicurezza dev'essere una filosofia di progettazione, di approccio all'insieme, e non essere identificata con un prodotto (cosa che viene invece molto bene ai vendor di sicurezza :P) .Poi è chiaro che dei prodotti (di difesa/controllo) servono (in un mondo ideale, se tutto fosse approcciato bene, non servirebbero, pero'). Magari vedro' di riportare queste cose nella voce.
- Sono invece meno convinto del sofismo che "Rh" propone (il fatto che una norma ISO e' un prodotto). Formalmente potrebbe anche starci, ma e' un vero sofismo imho. --SpiderScai (Discussione) 05:25, 1 ott 2006 (CEST)
- Spiderscai, sono totalmente d'accordo con le cose che hai detto (le quali non contaddicono il mio pensiero) e le approvo nella loro interezza: grazie del contributo. Microsoikos 12:01, 1 ott 2006 (CEST)
Ciao,sto scrivendo una pagina denominata Sicurezza dei programmi mi è stato suggerito di unirla a qusta pagina Sicurezza informatica magari tra le voci correlate. Fabry23 15:38, 30 mar 2007 (CEST)
15:35, 6 apr 2007 (cron) (diff) Sicurezza dei programmi (Redirect a Sicurezza informatica) (ultima per la pagina) 15:31, 6 apr 2007 (cron) (diff) Sicurezza dei programmi 12:24, 5 apr 2007 (cron) (diff) Wikipedia:Richieste agli amministratori/aprile 2007 12:48, 2 apr 2007 (cron) (diff) Sicurezza dei programmi 12:45, 2 apr 2007 (cron) (diff) Sicurezza dei programmi 15:41, 30 mar 2007 (cron) (diff) Discussione:Sicurezza informatica (ultima per la pagina) 12:23, 29 mar 2007 (cron) (diff) Sicurezza dei programmi 12:15, 29 mar 2007 (cron) (diff) Sicurezza dei programmi 16:48, 28 mar 2007 (cron) (diff) Sicurezza dei programmi 16:47, 28 mar 2007 (cron) (diff) Sicurezza dei programmi (Nuova pagina; testo: '==Introduzione== Il problema della sicurezza dei programmi e soprattutto dell'invio e ricezione di dati confidenziali protetti,si è posto all'attenzione degli sviluppato...')
Unificazione fatta[modifica wikitesto]
Ho unificato la voce con "Sicurezza dei sistemi informatici", puntando a organizzare le informazioni esistenti, senza aggiunte. Ho rivisto anche i parametri del monitoraggio della voce
Rileggendo il tutto mi vengono una serie di aspetti che, secondo me, sarebbero da migliorare.
- La cultura della sicurezza: in tutti i casi in cui si vuole raggiungere un buon livello di sicurezza è fondamentale diffondere una cultura della sicurezza tra gli utenti. Questo aspetto è generale, non riguarda solo i sistemi informatici. A volte la cultura della sicurezza può essere organizzata in procedure, che successivamente possono essere automatizzate in un programma per computer, ma ancora oggi la cultura degli utenti è fondamentale per la sicurezza finale.
- La sicurezza come assenza: troppo spesso si parla di sicurezza come se fosse una caratteristica additiva del sistema, che si ottiene con opportuni tool. Ma la sicurezza è anche basata sull'assenza di parti che potrebbero essere soggette ad attacco dall'esterno. Un buon esempio consiste nella chiusura di tutte le porte (in particolare quelle tcp/udp) che non sono necessarie al funzionamento del sistema. Un esempio più completo di come si ottiene sicurezza togliendo è il Bastille Linux, una configurazione rinforzata e semplificata di Linux.
- Altro aspetto importante è che il sw di larga diffusione è particolarmente soggetto ai virus e tale problema diventa più grave se non sono disponibili i sorgenti. In pratica tutto il software basato su MS Windows è intrinsecamente inadatto per applicazioni sicure, in particolare se tali applicazioni girano su un server.
Truman (msg) 15:50, 14 ott 2010 (CEST)
Da fare[modifica wikitesto]
Ci vorrebbe inoltre un cenno agli aspetti legali della sicurezza informatica, al concetto di crimine informatico ed alla polizia postale.Truman (msg) 15:03, 3 nov 2010 (CET)
Uso del termine "hacker"[modifica wikitesto]
Scusate se mi intrometto, ma ho notato che viene usato il termine "hacker" riferito agli attacchi a sistemi operativi. Sono abbastanza sicura che vada sostituito con "cracker", essendo gli attacchi informatici contrari all'etica hacker. (non lo faccio io perché rischierei di rovinare la pagina)
- Concordo pienamente, vista anche la stessa voce hacker. Aggiungo che la § Eventi indesiderati si cimenta nella stessa definizione e di hacker in contrapposizione con cracker, ed è proprio sbagliata (si vedano le due voci). Correggerei cogliendo l'occasione per chiarire l'intera sottosezione.
- --SoujaK (msg) 15:34, 20 giu 2013 (CEST)
Definizione in video[modifica wikitesto]
Ho aggiunto il link al dizionario video di BitMAT, si può fare? --Ilbellodelweb (msg) 17:47, 14 giu 2012 (CEST)
Sicurezza e usabilità[modifica wikitesto]
Una problematica frequente che si presenta quando si vuole mettere in sicurezza un sistema è il degrado dell'usabilità del sistema man mano che cresce il suo livello di sicurezza. Un esempio può essere dato dalla notevole quantità di password che siamo costretti ad imparare per poter usare i sistemi informatici. Solitamente queste password scadono poi dopo breve tempo, costringendo ad avere un archivio di password, da tenere aggiornato. Ma la presenza di un archivio personale di password è un rischio di sicurezza, indipendentemente da dove è custodito. Insomma il contrasto tra sicurezza e usabilità andrebbe tenuto presente nella progettazione, anche perchè è un costo che spesso è difficile da valutare.--Truman (msg) 16:24, 1 lug 2013 (CEST)
Collegamento esterno mancante[modifica wikitesto]
Salve, manca completamente il riferimento a Melani, è come parlare della guerra fredda senza citare gli USA.
Possiamo rimediare? http://www.melani.admin.ch/index.html?lang=it
Saluti e Grazie
- Non mi sembra che aggiunga nulla alla voce. Non lo vedo nemmeno nella voce in lingua inglese, probabilmente anche gli altri collegamenti presenti andrebbero riveduti e in gran parte rimossi. --M/ 11:19, 31 lug 2013 (CEST)
- Ciao in Inglese non ha senso, è solo nelle lingue ufficiali Svizzere, posso offrirmi volontario per la verifica dei collegamenti esterni? Mi occupo da 25 anni di sicurezza informatica. Ciao
Riorganizzazione[modifica wikitesto]
Ho riorganizzato la voce nella parte iniziale. La parte "Sicurezza dei dati" andrebbe integrata nei paragrafi iniziali.--Truman (msg) 00:15, 7 nov 2017 (CET) Ok, fatto.--Truman (msg) 23:20, 8 nov 2017 (CET)
Definizione di sicurezza informatica[modifica wikitesto]
Ho pesantemente rivisto la definizione iniziale, in coerenza a ciò che è oggi la voce ed alle voci collegate in interwiki. Ho verificato in particolare la versione francese (molto curata), quella spagnola, portoghese e inglese. Ho rimosso nella definizione l'appartenenza della sicurezza informatica alla semplice informatica. In realtà i temi trattati nella voce riguardano aspetti più complessi. Ho evidenziato che nella sicurezza informatica "sono coinvolti elementi tecnici, organizzativi, giuridici e umani". Mi resta qualche dubbio su come chiamare ciò che si vuole proteggere, che potrebbe essere chiamato "sistemi elettronici" (usato in alcune normative nazionali) oppure "sistemi informativi" o semplicemente "sistemi informatici". Va detto che nel portale sicurezza informatica resta per ora la vecchia parte introduttiva della voce. Da valutare poi la scelta fatta su en.wiki, che distingue "Information security" da "computer security", la prima più legata ai temi formali della sicurezza, la seconda più orientata alla tecnica informatica.--Truman (msg) 18:53, 16 nov 2017 (CET) Dopo verifica del wikilink ho messo "sistemi informatici" come oggetto della protezione.--Truman (msg) 19:20, 16 nov 2017 (CET)
Collegamenti esterni modificati[modifica wikitesto]
Gentili utenti,
ho appena modificato 1 collegamento esterno sulla pagina Sicurezza informatica. Per cortesia controllate la mia modifica. Se avete qualche domanda o se fosse necessario far sì che il bot ignori i link o l'intera pagina, date un'occhiata a queste FAQ. Ho effettuato le seguenti modifiche:
- Aggiunta del link all'archivio https://web.archive.org/web/20171107024245/http://www.cyberlaws.it/cybersecurity-cybercrime/data-security/ per http://www.cyberlaws.it/cybersecurity-cybercrime/data-security/
Fate riferimento alle FAQ per informazioni su come correggere gli errori del bot.
Saluti.—InternetArchiveBot (Segnala un errore) 06:05, 21 giu 2019 (CEST)
Aggiunte recenti: minaccia/vulnerabilità e sicurezza informazioni[modifica wikitesto]
Trovo recenti aggiunte molto discutibili, tra cui un'errata concezione delle vunerabilità. Provo a dare una risistemata, tenendo presente che la stima dell'entità della minaccia nelle procedure di sicurezza è prevista nelle metodologie di analisi del rischio. Evidentemente, è sulle protezioni che bisogna intervenire e dove le protezioni sono carenti c'è una vulnerabilità.
Sulla sicurezza delle informazioni taglio la parte "la sicurezza delle informazioni, quando queste sono digitali, usa la sicurezza informatica come componente di azione insieme ad altre (gli aspetti organizzativi, la consapevolezza, la sicurezza fisica/ambientale, ecc.)" perchè gli spatti organizzativi e fisici sono previsti nella presente voce.
Poi se le informazioni non sono elettroniche allora non riguardano la presente voce, che già raccoglie troppo materiale svariato. --Truman (msg) 12:01, 13 mar 2023 (CET)