Procedura di segnalazione Data Breach

Transcript

1 SECURITY SUMMIT - TREVISO, 16 MAGGIO 2018 Procedura di segnalazione Data Breach è sufficiente per dormire sonni tranquilli?

2 Roberto Obialero Cybersecurity & Data Protection Advisor Delivery Unit Manager Risk & Compliance 2

3 Agenda dell intervento Data Breach: analisi del contesto e dei costi associati Misure organizzative e Misure tecnologiche a supporto della compliance Conclusioni 3

4 Notifica episodi di data breach 4

5 Esempi di data breach (dati personali e di business) Attacco informatico con esfiltrazione dei dati; Copia di dati aziendali da parte di un insider; Errore umano: replica dati «sensibili» su una risorsa non protetta; Furto di un media portatile (laptop, smartphone, hard disk, USB stick) non opportunamente protetto; Perdita o furto di nastri backup; Recupero informazioni da media dismessi; Furto, smarrimento o mancata distruzione di archivi cartacei; prolungata indisponibilità delle informazioni che metta a rischio le libertà dei soggetti interessati.

6 Data breach: il contesto

7 Data breach: il contesto

8 Data breach: il contesto

9 Data breach: dimensioni del fenomeno

10 Data breach: dimensioni del fenomeno

11 Data breach: dimensioni del fenomeno

12 Tempi di reazione alle compromissioni e costi associati

13 Tempi di reazione alle compromissioni e costi associati

14 Come affrontare il problema? Soluzioni organizzative: Classificazione delle informazioni in base al loro livello di sensibilità; Attivazione processo di gestione incidenti di sicurezza con chiara attribuzione di ruoli e responsabilità; Definizione punto di contatto (DPO?) verso l Autorità Garante ai sensi GDPR; Procedura di segnalazione Data Breach. Soluzioni tecnologiche: Autenticazione, Autorizzazione ed Accounting delle attività; Data Discovery, Data Masking, Cifratura; Data Loss Prevention; SIEM & servizi SOC; Network Behaviour Analysis basata su algoritmi di intelligenza artificiale.

15 Il processo di Incident Management Preparazione Identificazione Contenimento Rimozione Ripristino Lezioni apprese

16 Autenticazione, Autorizzazione ed Accounting Tutte le aziende utilizzano un numero crescente di strumenti tecnologici. Per questo occorre gestire le utenze dei sistemi informativi in modo corretto, sicuro e dinamico. Identity & Access Management, ovvero soluzioni che permettono di gestire efficacemente gli utenti e le autorizzazioni: Autenticazione: gestione delle identità e provisioning utenti, in modo centralizzato ed integrato; Autorizzazione: accesso controllato alle risorse ICT e gestione privilegi, ogni utente è autorizzato a fare solo ciò che deve fare in base al ruolo aziendale; Accounting: gli accessi e le attività svolte vengono registrati nel rispetto del monitoraggio della sicurezza.

17 Data discovery, Data masking, Cifratura Soluzioni che consentono di identificare ed anonimizzare i dati ovunque si trovino, dagli endpoint, ai server aziendali, al Cloud; di seguito alcune funzionalità di tali strumenti: Automazione nel riconoscimento dei dati sensibili (codici fiscali, indirizzi, date di nascita, # carte di credito, ecc.) Mascheramento dei dati per salvaguardarne la privacy negli ambienti di test oppure per minimizzarne l impatto durante il trattamento Cifratura dei dati sia in transito che a riposo (sia a livello di dispositivo di accesso che a livello di file system e database)

18 Data Loss Prevention Una violazione dei dati trattati può avere conseguenze devastanti, da una reputazione compromessa sino a sanzioni normative e cause di risarcimento. Il rischio può essere mitigato da soluzioni DLP che consentano di proteggere i dati sensibili; di seguito le principali funzionalità: Blocco nell accesso ai dati; Monitoraggio del trasferimento dei dati; Rilevamento esfiltrazione di dati sensibili dall organizzazione tramite , upload nel web, ecc.

19 SIEM e servizi SOC Centralizzazione della raccolta dei log e degli eventi di sicurezza, aggregazione, correlazione ed analisi tramite soluzione tecnologica SIEM (Security Information & Event Management) Attivazione di un servizio SOC (Security Operations Center) in grado di presidiare in modo continuativo le attività di indagine e risoluzione in merito agli incidenti di sicurezza.

20 NBA workflow: collezione e trattamento dei dati Rilevazione immediata dei pattern di attacco COLLEZIONE I sensori sono strategicamente posizionati nei diversi nodi all'interno della rete, a seconda della dimensione dei flussi e della quantità dei dati trasferiti. Ogni sensore raccoglie informazioni dal segmento di rete in cui è installato, le analizza in tempo reale e invia i risultati al server locale. CORRELAZIONE Sul server locale i dati ricevuti dalle sonde sono arricchiti con le informazioni provenienti da fonti OSINT e dalla threat intelligence generata dalle sorgenti proprietarie, utilizzando informazioni specifiche del Cliente. ANALISI Il sistema esegue costantemente due tipi di analisi sui dati raccolti: Modulazione continua delle analitiche sulla base dell evoluzione del rischio dinamicamente rilevato. Analisi, tramite il motore di intelligenza artificiale, del comportamento di ogni singolo nodo della rete per evidenziare anomalie comportamentali. VISUALIZZAZIONE Le informazioni sono rappresentate nella dashboard con grafiche di «cognitive visualisation», molto efficaci per evidenziare minimi scostamenti da schemi ripetitivi. Tali grafiche, grazie a funzionalità di zoom e drilldown sui dati, sono un potente strumento nelle mani degli l analisti per l identificazione e l analisi degli allarmi.

21 Conclusioni Data breach: fenomeno rilevante sinora poco evidente in EU in quanto non normato; Livello di maturità non adeguato rispetto ai rischi corsi; Soluzioni organizzative centrali per la mitigazione; Soluzioni tecnologiche importanti ma da coordinare e governare; Una protezione dei dati adeguata si traduce in una maggiore competitività da parte dell azienda; Gli obblighi normativi costituiranno uno stimolo ad adottare le prassi corrette, basate su standard ormai maturi

22 CYBER SECURITY INTELLIGENCE SERVICES CRITICAL INFRASTRUCTURE SECURITY CYBER SECURITY RISK & COMPLIANCE FORENSIC ANALYSIS AND INCIDENT RESPONSE IOT &EMBEDDED SECURITY MOBILE SECURITY ARAMIS CYBER SEC ASSESSMENT Il servizio supporta rapidamente i clienti nell'individuazione e gestione degli incidenti ed eseguendo attività di reverse engineering del malware, threat intelligence ed ediscovery INTELLIGENCE SERVICES Distribuito territorialmente nelle diversi sedi di aizoon, Australia, Europa ed USA garantisce una copertura 24/7 CP ITA 21/05/2018 FOUNDING MEMBER 22

23 Grazie per l attenzione AUSTRALIA Sydney NSW EUROPE Torino ITA Cuneo ITA Milano ITA Genova ITA Bologna ITA Roma ITA Bari ITA Sheffield UK USA New York NY Troy MI Cambridge MA Lewiston ME aizoon@aizoongroup.com aizoon Technology roberto.obialero@aizoongroup.com RobyObialero