Senza categoria

Quando è consigliabile cambiare sistema operativo?

Qual è il vostro sistema operativo?

Domanda cruciale, gli utilizzatori medio-esperti sicuramente sanno già rispondere alla domanda, è un pochino grave chi invece non ha idea di quale sia il proprio sistema, non tanto per le prestazioni che questo potrebbe dargli quanto per la sicurezza nell’ utilizzarlo, e ora vi spiego perché.

Microsoft punta molto sulla fetta di fatturato del proprio Sistema Operativo, questa attenzione verso il prodotto “Windows” detta indirettamente i tempi del mercato degli utilizzatori del pupillo di casa “Gates”. Questo scandire i tempi di uscita e permanenza sul mercato di un determinato prodotto  viene spronata da una precisa idea di Marketing basata sulla distribuzione del c.d. Supporto.

E’ prassi infatti per Microsoft di rilasciare con frequenza aggiornamenti e hotfix, durante il ciclo di vita del software, questi aggiornamenti sono fondamentali perché l’Azienda testa e sviluppa costantemente le migliorie e gli adattamenti più adeguati per fornire la best user experience.

Microsoft fornisce due tipi di  Support,  il Mainstream Support e l’Extendend Support, entrambe i cicli di supporto durano 5 anni, il primo a partire dall’ uscita del prodotto, il secondo allo scadere del primo.

La differenza tra i due sta nel genere e nella quantità degli aggiornamenti che vengono distribuiti; durante i primi 5 anni infatti il supporto è completo, va dagli aggiustamenti delle funzionalità e della grafica del prodotto, aggiornamenti della sicurezza, hotfix , supporto abbinato alla licenza, ai programmi di licenza e tutti i programmi di supporto gratuiti,  supporto a pagamento (c.d. pay per incident). Nei successivi 5 anni  cessano gli aggiornamenti sulla grafica, sulle hotfix e sulle licenze (per le licenze server è possibile acquistare un extended hotfix support) , mentre la termine dei 5 anni di Extended Support  non si riceveranno più aggiornamenti di nessun genere (e di conseguenza nemmeno nuove Knowledge base inerenti).

Questo significa che un sistema operativo, alla scadenza definitiva del suo supporto, perde efficacia sotto il profilo della sicurezza in quanto le librerie interne , i tools di rimozione del malware e tutte le funzionalità che necessitano di stare “al passo” coi tempi (visto che i virus, malware e sistemi di exploit sono costantemente in evoluzione) non si aggiornano, gli sviluppatori non le testano con le ultime “criticità” perché di per loro hanno interesse a far passare l’utente alla successiva versione di O.S.

E’ un po la strategia che Apple applica agli iPhone con gli aggiornamenti di iOs, ogni volta che esce un nuovo iPhone , Apple dichiara la cessazione della distribuzione degli aggiornamenti per alcuni dei dispositivi meno recenti ,  a ruota ciò comporta che alcune App non saranno più compatibili e quindi l’utente avrà un disagio che compenserà col passaggio al modello superiore.

Spiegata la necessità di mantenersi aggiornati vediamo allo stato attuale qual è la situazione dei supporti :

  • Windows XP : lo so, è stato uno dei sistemi operativi Microsoft meglio riusciti; solido, stabile, snello e con una grafica molto user friendly. Ahimè il suo supporto Extended si è concluso nell’Aprile 2014. Se avete XP tagliate il cordone ombellicale, è un consiglio.
  • Windows Vista : più che chiedersi quando scade il supporto, c’è da chiedersi perché ancora qualcuno ce l’abbia installato, uno dei più grossi buchi nell’acqua della storia Microsoft è andato out-of-support 2 giorni fa (11 Aprile 2017) a prescindere da questo sbarazzatevene se ne avete ancora delle copie.
  • Windows 7 SP1 : specifico Service Pack1 in quanto senza il supporto sarebbe scaduto il 9 Aprile 2013. Chi ha ancora Win 7, può (se non l’ha ancora fatto) installare gratuitamente il SP1, la fine del supporto è fissata per il 14 Gennaio 2020.
  • Windows 8 : è rimasto in commercio per poco tempo, è stato prima fatto un grosso update, tale da trasformane il nome in 8.1 e successivamente, causa i grossi limiti è stato proposto a tutti coloro fossero in possesso di licenze Professional di aggiornarsi gratuitamente a Win10 senza pagare nulla (possibilità scaduta nel mese di Marzo 2017) coloro i quali fossero ancora in possesso della versione 8.1 sappiano che il support Extended sarà loro garantito fino al 10 Gennaio 2023.
  • Windows 10 : l’ultimo nato in casa Microsoft (rilasciato nel luglio 2015) ha come end-of-support il 14/10/2025

Ora indipendentemente dal fatto che le performance del vostro sistema siano accettabili, sappiate che è sempre molto consigliato tenere il vostro PC nelle migliori condizioni possibili (le c.d. Best Practices) in modo da poter beneficiare del costante lavoro degli sviluppatori Microsoft e soprattutto per non esporsi inutilmente a rischi sulla sicurezza.

Informatica Generale, Sicurezza Informatica

Tutela della Privacy vs Sicurezza

L’evoluzione tecnologica e il sempre crescente affinamento della complessità delle tecniche di attacco informatico e soprattutto dal crescente danno causato da tali attacchi a organizzazioni ed enti aziendali, ormai strettamente dipendenti dai loro sistemi informatici, hanno costretto le stesse,  ad utilizzare sistemi di sicurezza basati su tecnologie sempre più sofisticate. Il filo che separa queste tecniche dall’essere o meno eccessivamente invasive a livello di privacy (per i dipendenti delle aziende che li utilizzano) è sempre più labile e sottile.

Premessa : Il trattamento di dati personali è regolamentato da numerose leggi, in particolare la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio dell’Unione Europea (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) e il DL 196/2003 (codice in materia di protezione dei dati personali).

La Direttiva Europea stabilisce che:

  1. Gli Stati membri garantiscono, conformemente alle disposizioni della direttiva, la tutela dei Diritti e delle Libertà fondamentali delle persone fisiche e in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali.
  2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.

Il Codice Italiano della Privacy, molto più dettagliato, rimarca il diritto di chiunque alla protezione dei dati personali che lo riguardano e disciplina le modalità di trattamento dei dati, specificando anche i requisiti di sicurezza dei dati e dei sistemi informatici.

In sostanza queste leggi stabiliscono che la custodia e il trattamento dei dati personali sono legati ai progressi tecnici, alla natura dei dati e alle caratteristiche del trattamento, in modo che adeguate misure preventive di sicurezza riducano al minimo i rischi in termini di riservatezza, integrità e disponibilità e al tempo stesso introducono due concetti che meritano attenzione nell’ambito della sicurezza informatica: l’idoneità e l’evoluzione delle misure di sicurezza.

L’idoneità è un criterio che non descrive una particolare soluzione se non attraverso i risultati ottenuti. In caso di contestazione, chi è responsabile delle scelte e dell’attuazione delle politiche di sicurezza dovrà dimostrare di avere adottato le misure necessarie per evitare la perdita di sicurezza che si è verificata e che quest’ultima è attribuibile a eventi fortuiti o di causa maggiore.

L’evoluzione delle misure di sicurezza è inevitabile per stare al passo (idealmente per anticipare) delle modalità e degli strumenti di attacco. L’aggiornamento delle politiche di sicurezza e delle contromisure tecnologiche è indispensabile per mantenere nel tempo l’idoneità delle soluzioni messe in campo ed evitare quindi azioni di responsabilità civile intraprese dai soggetti che si dichiarano danneggiati.

L’esigenza di ottenere gli obiettivi di sicurezza in termini e costi ben definiti ha favorito l’outsourcing della sicurezza attraverso contratti che impegnano il fornitore a gestire le problematiche di sicurezza in nome e per conto del committente. Tali contratti garantiscono il rispetto di specifici SLA (Service Level Agreement : ossia accordi sulle tempistiche di risoluzione e intervento) o di standard internazionali come il BS 7799/ISO 17799 che, se adottati, producono il livello di idoneità del livello di sicurezza richiesto dai legislatori.

Il Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B del Codice della privacy italiano) definisce le misure minime di sicurezza che devono essere adottate dalle organizzazioni che trattano dati personali attraverso strumenti elettronici o in altro modo. E’ bene specificare che l’osservanza delle misure minime di legge elencate nell’Allegato B evita sì il rischio di sanzioni di tipo penale, ma solo l’adozione di misure di livello superiore può tenere l’azienda al riparo da azioni di responsabilità civile. Sempre l’Allegato B prescrive l’uso di credenziali di autenticazione per accedere al sistema, specifica norme per la scelta e l’amministrazione delle password, prevede sistemi di autorizzazione per limitare gli accessi alle informazioni minime necessarie e include altre misure di sicurezza (aggiornamenti software, backup periodici, sistemi  anti-intrusione, programmi anti-malware).

La Sicurezza non è un prodotto che si acquista, ma un costante processo che coinvolge diverse figure aziendali, per questa ragione il legislatore ha stabilito che il Titolare e il Responsabile del trattamento dei dati personali devono redigere, almeno una volta l’anno, un documento programmatico sulla sicurezza dei dati particolarmente dettagliato. I contenuti richiesti comprendono :

  • i dati trattati;
  • il personale responsabile;
  • l’analisi dei rischi;l
  • le contromisure fisiche, procedurali e tecniche da adottare;
  • le misure di disaster recovery adottate;
  • le azioni programmate di formazione del personale;
  • i criteri per garantire i criteri minimi di sicurezza del trattamento dati in caso di outsourcing;
  • i criteri da adottare per la cifratura o altra forma di protezione di dati sensibili.

È interessante notare che la legge recepisce l’importanza dell’analisi del rischio, che include il censimento dei beni da proteggere, la valutazione delle minacce e dei danni potenziali e la definizione delle contromisure, anche le attività di formazione e gli interventi organizzativi lasciano trasparire la necessità di coinvolgere nelle problematiche di sicurezza tutti i soggetti che condividono la responsabilità della custodia e del trattamento dei dati.

Infine è bene sapere che anche in caso di outsourcing, il Titolare conserva la responsabilità finale del trattamento dei dati e per contratto dovrà ricevere dal fornitore un documento che attesti la conformità con le disposizioni. La mancata adozione delle misure minime di sicurezza è sanzionata penalmente dal Codice della privacy; l’articolo 169 prevede l’arresto sino a due anni o l’ammenda da 10.000 a 50.000 euro per chi è soggetto al codice e omette di adottare le misure minime prescritte. L’insieme delle sanzioni, suddivise tra violazioni amministrative e illeciti penali, è descritto negli articoli 161- 172 del codice. (continua)