Crittografia e protezione dei dati


    [28/10/2004] Molte realtà aziendali italiane e una molteplicità di studi professionali dovranno adempiere, al più tardi entro il 31 dicembre 2004, alle nuove procedure imposte dai recenti aggiornamenti della legge sulla privacy.

    La proposta di un'azienda italiana del Nord-Est, che utilizza componenti e software tutti realizzati nel nostro Paese, può costituire una risposta di facile applicazione e dai costi molto contenuti.

    Com'è noto, la parola crittografia deriva dalle parole greche kryptos,(nascosto) e da graphia o scrittura.

    Codificare o cifrare dati significa quindi trasformarli in una forma di scrittura non leggibile.

    Non è una necessità  d'oggi.

    La codifica delle informazioni risale ad almeno quattromila anni fa:

    già  gli Egiziani usavano geroglifici modificati per incidere i propri messaggi funerari.

    Successivamente in epoca storica, Augusto scriveva i propri messaggi sostituendo ogni lettera con quella successiva (cosicché "Cesare" diventava "Dftbsf'), mentre Giulio Cesare cambiava ogni lettera con quella corrispondente alla posizione di tre posti avanti nell'alfabeto, rendendo il proprio nome in codice uguale a "Fhvduh".

    Oggi, a parte esigenze militari, c'è necessità  di proteggere i propri documenti da sguardi indiscreti e da concorrenti: la crittografia va utilizzata senza remore, perché è l'unico strumento che permette di salvaguardare la privacy nell'era digitale.

    E' importante, per chiunque, proteggere le informazioni confidenziali.

    L'accesso, da parte di persone non autorizzate a dati riservati costituisce un grave pericolo per ognuno.

    Nell'era delle comunicazioni in rete, è fondamentale la difesa della privacy.

    I documenti e i dati elettronici trasmessi attraverso le reti devono essere protetti da utenti non autorizzati, per lo stesso motivo per il quale si chiude una lettera in una busta prima di spedirla.

    Una e-mail è come una cartolina: prima di arrivare a destinazione passa di computer in computer e molti potrebbero leggerla senza difficoltà .

    Le informazioni private potrebbero essere raccolte, senza alcuna specifica autorizzazione, organizzate e utilizzate per scopi vari o illeciti.

    Si fa appunto ricorso a programmi crittografici per salvaguardare i dati e le e-mail da lettori abusivi.

    Spesso, i programmi di crittografia sono scelti soltanto sulla base di un'analisi dell'interfaccia utente, ma ogni programma di crittografia - che protegge i dati durante i vari trasferimenti - si basa su uno o più algoritmi matematici per crittografare i documenti e sono questi procedimenti a determinare la qualità  del programma di crittografia.

    Un elemento da considerare è la lunghezza della chiave utilizzata per la codifica: maggiore è la lunghezza e più difficile sarà  per una persona non autorizzata avere libero accesso ai dati.

    Non è raro che programmi semplici utilizzino algoritmi di crittografia potenti e sicuri e, viceversa, un programma più complesso potrebbe esporre i dati a una facile decodifica.

    Per questo motivo è meglio non affidare i propri documenti alle protezioni messe a disposizione dai sistemi di scrittura e di compressione più in uso.

    Infatti questi programmi sono facilmente decodificabili, per la facilità  di reperimento di sistemi di decrittazione.

    La sicurezza delle comunicazioni informatiche è una battaglia in corso.

    In Italia, la previsione di crescita del settore ICT, specializzato nella sicurezza attraverso soluzioni e servizi, tende a un potenziamento significativo con investimenti in crescita da 250 milioni di euro nel 2002 a 1,5 miliardi di euro entro il 2006.

    L'aumento del rischio per le informazioni va di pari passo con un forte ritardo nel nostro Paese rispetto all'adozione di sistemi di difesa delle reti, in confronto al rapido sviluppo dell'Information Technology in Europa.

    Ancora oggi il 40% delle aziende italiane non usufruisce di alcun sistema di sicurezza.

    Inoltre nel mercato attuale proliferano giornalmente attacchi ai computer di utenti singoli.

    E' in crescita la consapevolezza, da parte delle aziende, delle Pubbliche amministrazioni, dei professionisti e di singoli utenti della necessità  di una protezione migliore del sistema informatico in uso nella rete aziendale o nel singolo Pc.

    Ma non è ancora sufficientemente diffusa nel mondo del lavoro italiano la cultura di una security awareness, ossia del patrimonio di informazioni concernenti la divulgazione delle problematiche di sicurezza e la necessità  di opportuni corsi di addestramento.

    L'Italia, in particolare, dimostra una scarsa conoscenza nei confronti della necessità  di adeguarsi - entro la scadenza del 31 dicembre 2004 - ai dettami imposti dalla nuova legge sulla privacy.

    Bisogna, infatti, soddisfare una serie di requisiti di base che la legge impone alle varie categorie d'utenza.

    In questa diversa ottica, per esempio, le credenziali d'autenticazione per l'accesso a Internet e per quello ai sistemi informatici devono essere cambiate almeno ogni tre mesi (nel caso si tratti di dati sensibili) e almeno ogni sei mesi per i dati personali.

    Comunque tutte le password di identificazione personale dovrebbero essere disattivate e cambiate ogni semestre.

    In questo nuovo quadro di riferimento per il lavoro giornaliero, la legge sulla privacy costringe il mondo delle imprese e quello dei professionisti a prendere cognizione dei livelli elevati di rischio connessi alla diagnosi insufficiente dei pericoli, accelerando un miglior valore organizzativo e promuovendo una diversa cultura informatica.

    In questo contesto, è stato creato nuovo software, facile da usare, per adempiere alla legge sulla privacy.

    Lo ha ideato Sata HTS, una giovane azienda italiana produttrice di hardware e di software, specializzata nella sicurezza informatica.

    Il nuovo programma, Pandora, è in grado di organizzare tutte le procedure necessarie agli adempimenti della legge sulla privacy e produrre, in modo completo e corretto, tutta la documentazione richiesta, anche in funzione dei recenti aggiornamenti normativi.

    Partendo dalla struttura organizzativa esistente, il nuovo software guida l'operatore al computer attraverso i passaggi previsti dalla legge: dalla gestione degli utenti, all'assegnazione delle responsabilità  e, via via, attraverso tutte le indicazioni dalla norma per il trattamento dei dati, inclusa la stesura del Documento programmatico sulla sicurezza.

    E' così possibile adeguare il sistema informatico alla legge in vigore, adottando le misure minime obbligatorie.

    Il software comprende le procedure per predisporre la struttura organizzativa dell'azienda, la gestione degli utenti (titolare, incaricato, eccetera), l'inventario della strumentazione, dei dispositivi e degli archivi, dei dati personali e dei dati sensibili, la modalità  e la finalità  del trattamento, i profili di autorizzazione, il Documento programmatico sulla sicurezza, le lettere d'incarico e le procedure per il personale.

    Tutti i report prodotti su indicazione del software, sono compilati in modo automatico e personalizzato.

    Il prodotto, oltre al software di produzione della documentazione, contiene anche una chiave Usb crypto+access per criptare i dati personali e sensibili in modo semplice e rapido e consentire una sicura autenticazione d'accesso al computer.

    Una seconda chiave Usb store permette, attraverso la memoria flash integrata, di gestire in modo sicuro le credenziali degli utenti, memorizzando password, account utente e codici di cifratura.

    Per dare la massima sicurezza al sistema informatico nel quale è installato, il nuovo contiene un antivirus e un firewall.

    Sitografia

    Sata HTS www.sata-hts.com

    Cryptography - Center for Democracy & Technology www.cdt.org/crypto/

    The cryptography introduction and guide for beginners www.cryptographyworld.com

    Cryptography - From Wikipedia, the free encyclopedia http://en.wikipedia.org/wiki/Cryptography