Università degli studi di Siena
 
Ufficio esercizio e tecnologie

Sicurezza

La normativa europea sulla protezione dei dati personali (“GDPR”) impone, ai soggetti pubblici e privati, di adottare di contromisure atte a minimizzare la possibilità del furto di dati (“data breach”) e conseguenze per le libertà degli interessati.

Risulta pertanto necessario adottare ogni strategia possibile per minimizzare ogni “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità.” che per ottemperare alle tempistiche indicate agli artt. 33 e 34 del GDPR e garantire la libertà delle persone e la protezione dei loro dati personali.

E’ quindi opportuno adottare politiche di sicurezza per adeguare la Rete e i Sistemi informatici di Ateneo, come dal “considerando 83” del GDPR, “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.”

Come riferimento tecnico-normativo per tutte le attività relative alla cybersecurity all’Università di Siena, oltre al già citato GDPR, sono inoltre considerate la Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015, “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” e la Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. “Direttiva NIS”)

Link utili

Articoli relativi alla cybersecurity

Verificare l’attendibilità di una mail relativa all’account unisiPass proveniente dall’Università di Siena

Sappiamo bene quanto il phishing e le varie tecniche di social engineering anche via mail rappresentino un rischio reale per la sicurezza dei dati e della Rete istituzionale. Tuttavia la …

Incidente informatico per la piattaforma di accesso remoto AnyDesk

La piattaforma di desktop remoto AnyDesk ha notificato, anche attraverso il suo sito web ufficiale[1], un incidente informatico avvenuto negli ultimi giorni di Gennaio che potrebbe aver compromesso (o compromettere) …

CIRCOLARE sull’uso di chiavette USB

Si raccomanda l’utenza di porre particolare attenzione all’uso delle c.d. “chiavette” USB e altri dispositivi di memorizzazione rimovibili, come dischi USB esterni, poiché possono essere veicolo di molteplici minacce informatiche …

Uso di VeraCrypt per proteggere crittograficamente i dati personali e istituzionali

Le normative impongono l’uso di soluzioni crittografiche sicure per la protezione dei dati personali, inclusi quelli istituzionali, soprattutto su dispositivi mobili quali chiavette USB, hard disk rimuovibili, laptop e smartphone. …

Cosa fare in caso di furto delle credenzali unisiPass

La corretta custodia delle credenziali istituzionali unisiPass è un obbligo per ogni assegnatario, come indicato anche nel discilinare informatico e nella password policy di Ateneo. Significa, in sostanza, mantenere ben …

Come segnalare correttamente un tentativo di phishing

Ricevere una mail di phishing è un evento piuttosto (purtroppo) frequente. L’uso del phishing via mail come attacco verso infrastrutture e servizi informatici è una pratica che i cybercriminali adottano …

La minaccia degli infostealer e la compromissione degli account

Una delle minacce informatiche al momento più preoccupanti è rappresentata dagli infostealer (information stealer), una categoria di malware specializzata nel furto delle credenziali memorizzate sui sistemi compromessi. Questi malware, diffusi …

Twitter Leak – I dati personali di oltre 200 milioni di account pubblicati in Rete

in questi primi giorni del nuovo anno è stato pubblicato in Rete un enorme archivio di dati personali relativi a oltre 200 milioni di account Twitter, estratti dalla piattaforma social …

In merito alla notifica di “Attenzione: rilevato traffico anomalo originato da un Suo dispositivo”

Per tutti i dispositivi connessi alla Rete di Ateneo, sia attraverso rete fissa che WiFi, nel rispetto delle misure di sicurezza previste dalla normativa, viene effettuato un monitoraggio continuo automatico …

[UniSI-CSIRT #01] Malware SolarMaker diffuso attraverso vulnerabilità plugin Formidable di WordPress

07 Luglio 2022 Si segnala che il National Cyber Security Center irlandese ha diramato un bollettino di attenzione relativamente al malware SolarMarker che si sta diffondendo sfruttando una vulnerabilità presente …