Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale. mail:

Transcript

1 Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale mail: segreteria@anorc.it

2 La sicurezza informatica nel GDPR. Giovanni MANCA LAND Srl VP ANORC 5 aprile 2019 (CNR ROMA)

3 L art. 5, par. 1, lett. F) del GDPR I dati personali sono «trattati in maniera da garantire un adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)». Le misure sono sia organizzative che tecniche. E cruciale avere un quadro completo dei dati che si stanno trattando, chi li sta trattando, dove li sta trattando e perché li sta trattando. Per le PPAA si applica la messa in opera del Registro dei trattamenti. Ma è indispensabile sapere quali dati si stanno trattando. 3

4 Art. 32 del GDPR - 1 Misure di sicurezza adeguate al rischio. Pseudonimizzazione e cifratura dei dati personali. Riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento. Capacità di ripristinare tempestivamente la disponibilità e l accesso ai dati personali in caso di incidente fisico e tecnico. 4

5 Art. 32 del GDPR - 2 Procedure per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. L analisi del rischio deve basarsi su quanto presentato dal trattamento in termini di distruzione, perdita, modifica, divulgazione non autorizzata o dall accesso, in modo acidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Possibilità di adesione a codici condotta adeguatamente approvati. Certificazione approvata (art. 42 del GDPR). ISO/IEC come estensione della

6 Violazione dei dati personali Art. 33 del GDPR. Senza una procedura adeguata non si scoprono i data breach se non perché qualcuno lo ha detto pubblicamente. Il data breach può comune è quella della perdita di un dispositivo digitale personale (PC, tablet, smart phone). Quali dati erano memorizzati e che impatto hanno sui diritti e le libertà delle persone fisiche. 6

7 Considerazioni operative - 1 La procedura di data breach può avere interessanti e positivi effetti collaterali. Se avete dati personali «in giro» cifrateli. Quindi la perdita di dati personali memorizzati su dispositivi personali è mitigata/gestita. Per capire se c è un data breach dovete applicare dei sistemi di analisi (sonde, analisi dei log, ecc.). 7

8 Considerazioni operative - 2 La prevenzione del data breach è favorita da sistemi e cultura anti malware. Formazione e regole sull utilizzo degli strumenti ICT (navigazione, utilizzo della posta elettronica, ecc.). Codice di condotta sull utilizzo degli strumenti ICT. Gestione delle copie di sicurezza dei dati. 8

9 Considerazioni operative - 3 Continuità operativa. Disaster recovery. Cifratura dei supporti di sicurezza. Distruzione dei dati digitali e cartacei superati i limiti temporali della conservazione ai fini del trattamento. 9

10 Pensare in modo digitale Aprire un messaggio di posta sconosciuto è pericoloso. Il «faldone» cartaceo è protetto dalla sicurezza fisica. Controllo accessi, video sorveglianza, badge, chiavi tradizionali. Il «faldone» digitale è sul vostro PC, su un server, sul cloud, ecc. 10

11 E un mondo difficile Nessuno deve conoscere la Vostra password. Nessuno ha bisogno della Vostra password. La Vostra password è Decisamente è meglio utilizzarne di più robuste. L auditor deve controllare. L amministratore di sistemi deve applicare dei vincoli. La Vostra password è anche un puntatore alla Vostra responsabilità aziendale. Proteggetela adeguatamente 11

12 Un aiutino Un organizzazione supportata dall ISO 9001 (meglio se certificato). Un organizzazione disegnata sulla ISO (non necessariamente certificata). Le misure minime di sicurezza ICT stabilite da AgID sono un ottimo strumento per capire come siamo posizionati e cosa fare. Si trovano alla pagina seguente (sito di AgID) e per le PPAA sono obbligatorie. 12

13 Misure AgID Tre livelli da considerare. Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. Standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana. Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni. Orientarsi sul livello standard, salvo le specificità del livello avanzato e l applicazione del principio di accountability del GDPR. 13

14 Conclusioni Non sono le sanzioni a dover spingere all applicazione del GDPR ma l efficienza organizzativa e operativa che derivano dall applicazione del regolamento GDPR. Dobbiamo sviluppare un senso della privacy collocando la nostra sensibilità quotidiana nel mondo digitale. Dobbiamo estendere i concetti di non accettare caramelle dagli sconosciuti, non firmare nulla, non aprire e dare confidenza agli estranei, chiudere i cassetti e le finestre, ecc. Senza paure verso il digitale, ma con la consapevolezza che il virtuale è diverso dal reale ma che oramai è reale e quindi deve essere affrontato. Senza timori, lasciando l indispensabile paranoia degli esperti di sicurezza che devono essere formati adeguatamente, che devono essere non invasivi, che devono essere aiutati e che richiedono collaborazione. I nostri dati sono in un dappertutto che deve essere noto e gestito. 14

15 Contatto del relatore: Giovanni Manca

16 Per maggiori informazioni e richiedere le modalità di adesione ad ANORC ecco i nostri contatti: c/o D&L Department srl via Mario Stampacchia, Lecce Tel e Fax: Cell: Ufficio di Presidenza: ufficio.presidenza@anorc.it Segreteria: segreteria@anorc.it Direzione: direzione@anorc.it Comunicazione: comunicazione@anorc.it Pec: anorc@pec.it