Domanda Quesito su spostamento di dati e sicurezza

andrea dimo

Utente Iron
2 Giugno 2022
5
1
1
4
Ultima modifica:
Buongiorno,

avrei bisogno di un vostro parere circa un quesito di informatica cui ho dovuto rispondere in un concorso docenti.
C'è qualche speranza che la risposta "a: spostamento dei dati" (ritenuta corretta, dove quindi si ritiene non possa in alcuna maniera riferirsi al concetto di sicurezza dei dati) possa invece considerarsi come attinente al concetto di sicurezza dei dati,
in modo da poter in qualche maniera invalidare la correttezza del quesito?

metto questo link che mi parrebbe significativo in tal senso:


Grazie anticipatamente a chi vorrà rispondere,

un saluto cordiale
Andrea
 

Allegati

  • Screenshot (58).png
    Screenshot (58).png
    141.4 KB · Visualizzazioni: 5
  • Mi piace
Reazioni: S h u r a

Psychonaut

Utente Jade
17 Giugno 2012
1,221
84
522
704
Ultima modifica:
Attenzione, la migrazione e lo spostamento dei dati sono due concetti diversi(a mio parere), oltretutto mi è capitato di usare NetApp in azienda xD.
Per migrazione si intende lo spostamento di un ingente quantità di dati, da una struttura ad un'altra(possiamo intendere struttura anche un Database, quindi l'attività di spostamento di quantità ingenti di dati da un database che risiede in un datastore A ad un database che risiede in un datastore B è considerata migrazione, e non mero spostamento, stesso esempio può essere applicato alle Applicazioni che girano su uno o più server, o ai server stessi, ma anche alle server farm.)

Allora Partiamo dalla domanda per fare alcune considerazioni :

"Quale tra questi eventi NON si riferisce al concetto di sicurezza dei dati"

Sicuramente le risposte B e D sono concetti inerenti alla sicurezza di quest'ultimi, un'intrusione consentirebbe la fuoriuscita e l'appropiazione illecita di dati sensibili, stessa cosa i virus, con l'aggravante(cosa che però può accadere anche durante un'intrusione) che i dati possano essere irrimediabilmente compromessi.

Per esperienza so che anche lo spostamento dei dati è un argomento molto inerente alla sicurezza, per esempio se faccio un estrazione da un DB tramite una query, e genero un file csv contenente ad esempio i codici IBAN e i numeri di Conto di 1500 clienti, allora quel file conterrà dati sensibili, per cui si dovrà attuare un metodo di spostamento consono a garantirne la sicurezza, se lo invio per email comprometto la sicurezza di quest'ultimo, poichè potrebbe essere semplice per un attaccante bucare una mail e trovarli, mentre rilasciarli all'interno di un server aziendale renderebbe molto più difficile l'appropiazione di questi ultimi.

Lo spostamento dei dati e l'accessibilità ad essi nelle Aziende Enterprice è regolato anche dalla costruzione di perimetri strutturali, di fatto questi si dividono in ambiente di COLLAUDO/TEST(dove vengono collaudate e testate le modifiche ad applicazioni o strutture) ambiente di PARALLELO(generalmente simile all'ambiente di produzione) e ambiente di PRODUZIONE(l'insieme di architetture che erogano il servizio aziendale verso i clienti e o i dipendenti), l'unico a poter accedere a tutti gli ambienti contemporaneamente è l'amministratore di sistema(sysadmin), sempre lui è l'unico ad avere i permessi per modificare qualsiasi cosa in tutti gli ambienti, gli altri dipendenti/fornitori avranno policy diverse a seconda dei casi, ma nessuno a parte l'amministratore può apportare modifiche, i tre ambienti non comunicano fra di loro, eccezion fatta per eventuali server "Ponte", senza considerare le eventuali policy di sicurezza che impediscono di accedere a determinate aree del perimetro, o evitano determinate azioni(ad esempi l'accesso ad una share da un determinato server, o con una determinata utenza).

L'ultima risposta non mi sembra inerente alla sicurezza dei dat(C)i "Ripristino dati per eliminazione accidentale".
Se la risposta fosse stata solamente "Ripristino Dati per eliminazione" forse si poteva discutere, magari poteva essere inerente al recupero di backup dopo un intrusione che ha danneggiato l'infrastruttura, o che ha compromesso i dati già presenti, ma l'accidentalità della cosa non mi convince .

Questo è un pò il ragionamento logorroico che mi sono fatto.

Poi facci sapere quale risposta era esatta :) Ciao.
 
  • Mi piace
Reazioni: 0xbro

waido

Utente Electrum
4 Marzo 2018
266
7
116
101
Ciao,

partiamo dal fatto che quando si parla di Sicurezza Informatica si discute di tutte quelle metodologie che servono a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni.

La domanda chiede di indicare quale evento NON si riferisce al concetto di sicurezza dei dati.

Risposta b) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta d) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta c) no, poichè vi è una violazione (accidentale) della disponibilità dei dati.
Risposta a) si, poichè a prescindere non vi è alcuna violazione della confidenzialità, integrità e disponibilità dei dati.
 

andrea dimo

Utente Iron
2 Giugno 2022
5
1
1
4
Attenzione, la migrazione e lo spostamento dei dati sono due concetti diversi(a mio parere), oltretutto mi è capitato di usare NetApp in azienda xD.
Per migrazione si intende lo spostamento di un ingente quantità di dati, da una struttura ad un'altra(possiamo intendere struttura anche un Database, quindi l'attività di spostamento di quantità ingenti di dati da un database che risiede in un datastore A ad un database che risiede in un datastore B è considerata migrazione, e non mero spostamento, stesso esempio può essere applicato alle Applicazioni che girano su uno o più server, o ai server stessi, ma anche alle server farm.)

Allora Partiamo dalla domanda per fare alcune considerazioni :

"Quale tra questi eventi NON si riferisce al concetto di sicurezza dei dati"

Sicuramente le risposte B e D sono concetti inerenti alla sicurezza di quest'ultimi, un'intrusione consentirebbe la fuoriuscita e l'appropiazione illecita di dati sensibili, stessa cosa i virus, con l'aggravante(cosa che però può accadere anche durante un'intrusione) che i dati possano essere irrimediabilmente compromessi.

Per esperienza so che anche lo spostamento dei dati è un argomento molto inerente alla sicurezza, per esempio se faccio un estrazione da un DB tramite una query, e genero un file csv contenente ad esempio i codici IBAN e i numeri di Conto di 1500 clienti, allora quel file conterrà dati sensibili, per cui si dovrà attuare un metodo di spostamento consono a garantirne la sicurezza, se lo invio per email comprometto la sicurezza di quest'ultimo, poichè potrebbe essere semplice per un attaccante bucare una mail e trovarli, mentre rilasciarli all'interno di un server aziendale renderebbe molto più difficile l'appropiazione di questi ultimi.

Lo spostamento dei dati e l'accessibilità ad essi nelle Aziende Enterprice è regolato anche dalla costruzione di perimetri strutturali, di fatto questi si dividono in ambiente di COLLAUDO/TEST(dove vengono collaudate e testate le modifiche ad applicazioni o strutture) ambiente di PARALLELO(generalmente simile all'ambiente di produzione) e ambiente di PRODUZIONE(l'insieme di architetture che erogano il servizio aziendale verso i clienti e o i dipendenti), l'unico a poter accedere a tutti gli ambienti contemporaneamente è l'amministratore di sistema(sysadmin), sempre lui è l'unico ad avere i permessi per modificare qualsiasi cosa in tutti gli ambienti, gli altri dipendenti/fornitori avranno policy diverse a seconda dei casi, ma nessuno a parte l'amministratore può apportare modifiche, i tre ambienti non comunicano fra di loro, eccezion fatta per eventuali server "Ponte", senza considerare le eventuali policy di sicurezza che impediscono di accedere a determinate aree del perimetro, o evitano determinate azioni(ad esempi l'accesso ad una share da un determinato server, o con una determinata utenza).

L'ultima risposta non mi sembra inerente alla sicurezza dei dat(C)i "Ripristino dati per eliminazione accidentale".
Se la risposta fosse stata solamente "Ripristino Dati per eliminazione" forse si poteva discutere, magari poteva essere inerente al recupero di backup dopo un intrusione che ha danneggiato l'infrastruttura, o che ha compromesso i dati già presenti, ma l'accidentalità della cosa non mi convince .

Questo è un pò il ragionamento logorroico che mi sono fatto.

Poi facci sapere quale risposta era esatta :) Ciao.
ti ringrazio molto per la risposta. ti chiederei se hai dei riferimenti che possa trovare in rete a suffragio della tesi che lo spostamento dei dati è un concetto che si possa considerare come inerente alla sicurezza...
Messaggio unito automaticamente:

Ciao,

partiamo dal fatto che quando si parla di Sicurezza Informatica si discute di tutte quelle metodologie che servono a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni.

La domanda chiede di indicare quale evento NON si riferisce al concetto di sicurezza dei dati.

Risposta b) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta d) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta c) no, poichè vi è una violazione (accidentale) della disponibilità dei dati.
Risposta a) si, poichè a prescindere non vi è alcuna violazione della confidenzialità, integrità e disponibilità dei dati.
sei stato molto chiaro, grazie. immagino non si "scappi" da qui...
 

Psychonaut

Utente Jade
17 Giugno 2012
1,221
84
522
704
ti ringrazio molto per la risposta. ti chiederei se hai dei riferimenti che possa trovare in rete a suffragio della tesi che lo spostamento dei dati è un concetto che si possa considerare come inerente alla sicurezza...

Non ho riferimenti, quello che ti ho detto proviene dalla mia esperienza lavorativa come sysadmin.
 

andrea dimo

Utente Iron
2 Giugno 2022
5
1
1
4
ti ringrazio molto per la risposta. ti chiederei se hai dei riferimenti che possa trovare in rete a suffragio della tesi che lo spostamento dei dati è un concetto che si possa considerare come inerente alla sicurezza...
Messaggio unito automaticamente:


sei stato molto chiaro, grazie. immagino non si "scappi" da qui...
Ciao,

partiamo dal fatto che quando si parla di Sicurezza Informatica si discute di tutte quelle metodologie che servono a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni.

La domanda chiede di indicare quale evento NON si riferisce al concetto di sicurezza dei dati.

Risposta b) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta d) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta c) no, poichè vi è una violazione (accidentale) della disponibilità dei dati.
Risposta a) si, poichè a prescindere non vi è alcuna violazione della confidenzialità, integrità e disponibilità dei dati.



Messaggio unito automaticamente:

Incollo una risposta ricevuta a questo riguardo, potresti darmi un parere?
Ti ringrazio in anticipo...

la domanda così formulata è poco chiara e fraintendibile.
Citando testualmente dalla pagina di Oracle, azienda ai vertici per basi dati e prodotti software: Sicurezza dei dati fa riferimento alle misure di protezione impiegate per proteggere i dati da accessi non approvati e per preservare la riservatezza, l'integrità e la disponibilità dei dati. Le best practice per la sicurezza dei dati includono tecniche di protezione dei dati, come crittografia dei dati, gestione delle chiavi, offuscamento dei dati, sottocategoria dei dati e mascheramento dei dati, nonché controlli di accesso degli utenti privilegiati, auditing e monitoraggio. Sicurezza dei dati. Le aziende devono implementare un livello di sicurezza appropriato, che comprenda controlli di sicurezza sia tecnici sia organizzativi, per prevenire la perdita dei dati, fughe di informazioni o altre operazioni di trattamento dei dati non autorizzate. Il GDPR incoraggia le aziende a incorporare la crittografia, la gestione degli incidenti e i requisiti di integrità, disponibilità e resilienza della rete e del sistema nel proprio programma di sicurezza.

rif. https://www.oracle.com/it/security/database-security/what-is-data-security/

Quando si parla di spostamento (o trasferimento) dati in maniera così generica, non è possibile analizzare adeguatamente gli aspetti di sicurezza implicati. Uno spostamento di dati tra due server farm, ad esempio, potrebbe provocare periodi di indisponibilità dei dati, eventuale corruzione e, in casi gravi, anche perdita, con le relative problematiche che ne scaturirebbero. Non è inoltre garantito, in questo caso, che nessuno acceda alle informazioni in maniera fraudolenta durante il trasferimento. La crittografia può mitigare questi rischi, ma non annullarli del tutto. Se invece lo spostamento avvenisse fra due paesi diversi, si potrebbe incorrere in possibili problemi di sicurezza dipendenti dalla legislazione del paese di destinazione.

https://www.garanteprivacy.it/temi/trasferimento-di-dati-all-estero

Da quanto sopra esposto, la risposta segnalata come corretta è discutibile e fraintendibile dal punto di vista informatico. Anche la scelta ad esclusione, in questo caso, credo sia complicata e poco opportuna.
 

andrea dimo

Utente Iron
2 Giugno 2022
5
1
1
4
Ciao,

partiamo dal fatto che quando si parla di Sicurezza Informatica si discute di tutte quelle metodologie che servono a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni.

La domanda chiede di indicare quale evento NON si riferisce al concetto di sicurezza dei dati.

Risposta b) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta d) no, poichè vi è una violazione (almeno) della confidenzialità dei dati.
Risposta c) no, poichè vi è una violazione (accidentale) della disponibilità dei dati.
Risposta a) si, poichè a prescindere non vi è alcuna violazione della confidenzialità, integrità e disponibilità dei dati.
Incollo una risposta ricevuta a questo riguardo, potresti darmi un parere?
Ti ringrazio in anticipo...

la domanda così formulata è poco chiara e fraintendibile.
Citando testualmente dalla pagina di Oracle, azienda ai vertici per basi dati e prodotti software: Sicurezza dei dati fa riferimento alle misure di protezione impiegate per proteggere i dati da accessi non approvati e per preservare la riservatezza, l'integrità e la disponibilità dei dati. Le best practice per la sicurezza dei dati includono tecniche di protezione dei dati, come crittografia dei dati, gestione delle chiavi, offuscamento dei dati, sottocategoria dei dati e mascheramento dei dati, nonché controlli di accesso degli utenti privilegiati, auditing e monitoraggio. Sicurezza dei dati. Le aziende devono implementare un livello di sicurezza appropriato, che comprenda controlli di sicurezza sia tecnici sia organizzativi, per prevenire la perdita dei dati, fughe di informazioni o altre operazioni di trattamento dei dati non autorizzate. Il GDPR incoraggia le aziende a incorporare la crittografia, la gestione degli incidenti e i requisiti di integrità, disponibilità e resilienza della rete e del sistema nel proprio programma di sicurezza.

rif. https://www.oracle.com/it/security/database-security/what-is-data-security/

Quando si parla di spostamento (o trasferimento) dati in maniera così generica, non è possibile analizzare adeguatamente gli aspetti di sicurezza implicati. Uno spostamento di dati tra due server farm, ad esempio, potrebbe provocare periodi di indisponibilità dei dati, eventuale corruzione e, in casi gravi, anche perdita, con le relative problematiche che ne scaturirebbero. Non è inoltre garantito, in questo caso, che nessuno acceda alle informazioni in maniera fraudolenta durante il trasferimento. La crittografia può mitigare questi rischi, ma non annullarli del tutto. Se invece lo spostamento avvenisse fra due paesi diversi, si potrebbe incorrere in possibili problemi di sicurezza dipendenti dalla legislazione del paese di destinazione.

https://www.garanteprivacy.it/temi/trasferimento-di-dati-all-estero

Da quanto sopra esposto, la risposta segnalata come corretta è discutibile e fraintendibile dal punto di vista informatico. Anche la scelta ad esclusione, in questo caso, credo sia complicata e poco opportuna.