ISACA VENICE MEETING 2014

Transcript

1 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio

2 Agenda Il contesto 3 Data Breach 4 Security Data Governance 5 Classificazione delle Informazioni 11 Impatti da governare 18 Normative & Standard - Gli aggiornamenti 19 Conclusioni 20 2

3 Il contesto...l Incremento del volume dei dati gestiti dalle aziende e dei canali a disposizione per accedervi hanno portato nuove opportunità......e al contempo, una crescita delle potenziali minacce ai requisiti di confidenzialità, integrità e disponibilità delle informazioni......diventa rilevante definire un approccio strutturato alla gestione delle informazioni, che permetta di mitigare il rischio di compromissione dell informazioni e di subire un Data Breach... Security Risk Process Data 3

4 Data Breach Alcune Statistiche: Circa 1 miliardo di utenti/records hanno subito Data Breach nel periodo I casi di Data Breach malevoli hanno determinato un costo medio di 115 per record; gli attacchi malevoli hanno causato il costo più elevato Data Breaches - Alcuni Esempi Aprile Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con conseguente accesso non autorizzato ad alcuni dati di clienti. L attacco ha coinvolto nome, , data di nascita e password criptate, impattando su 50 milioni di utenti. Luglio Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo database, che includeva il nome degli utenti, l indirizzo e password criptate. Dicembre Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini turchi. Il comitato Turkey s Supreme Election aveva inizialmente condiviso questi dati con le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile preda degli hacker. 4

5 Security Data Governance - Minacce La Security Data Governance è l insieme di processi e di strumenti tesi a garantire l efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Persone Asset informativi strategici incustoditi Dipendenti infedeli Disattenzione/incuria nel modificare i dati Hacking Social Engineering Relative al sito Tecnologiche Minacce Malfunzionamento/ compromissione Hw e SW Malicious Codes 5

6 Security Data Governance - Lo scenario Key topics I miei dati sono protetti? Rispetto i requisiti di legge e dei regolamenti di settore? Sono consapevole dei requisiti di Data Protection? Normative e regolamenti Legge 28 Dicembre 2005, n. 262 Sarbanes Oxley Act 2002 D. Lgs. 8 Giugno 2001, n. 231 D. Lgs. 30 Giugno 2003, n. 196 Circolare n.263/2006 B.I. Standard ISO 2700x NIST 800-x PCI-DSS COBIT ITIL Ambiti Management Data Privacy Data Security Vendor Management Incident Response Physical Security Training & Awareness 6

7 Security Data Governance - Esigenze Indicatori di esigenza di un programma di Security Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l adempimento degli obblighi di compliance Identificazione di criticità o di rischi nell accesso, nella conservazione e nel trattamento delle informazioni Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all infrastruttura per il monitoraggio e per il controllo dell accesso alle informazioni (staffing, strumenti, etc.) 7

8 Security Data Governance - Il ciclo di vita La Security Data Governance comprende il processo di Classificazione delle Informazioni, che supporta le aziende nell adozione di un programma di gestione delle diverse tipologie di Informazioni durante il loro intero ciclo di vita. Create / Receive Creazione da parte del personale aziendale Creazione da parte di Terze Parti Creazione da parte di sistemi e applicazioni Acquisizione previo NDA o licenza Distribute Classificazione delle Informazioni Privilegi di accesso Modalità di trasmissione / comunicazione Use / Retrieve Accesso/utilizzo limitato a determinati dispositivi e in determinati siti Condivisione con Terze Parti Mantenimento della qualità/integrità Uso Probatorio durante i procedimenti penali Maintain / Retain Strategie di archiviazione/storicizzazione Garanzia della disponibilità Capitalizzazione del valore delle informazioni Dispose Analisi costi-benefici del mantenimento/ cancellazione delle informazioni Procedure di cancellazione sicure e nel rispetto della compliance 8

9 Security Data Governance - Le misure di sicurezza Modello di Security Data Governance Policy e Procedure di Sicurezza Programma di comunicazione e sensibilizzazione MISURE ORGANIZZATIVE Training Newsletter Workshop E-Learning Soluzioni di sicurezza perimetrale / infrastrutturale Data Loss Prevention Crittografia MISURE TECNOLOGICHE Gestione accessi e profili (IAM) Log & Monitoring DRM / IRM Disaster Recovery Classificazione delle Informazioni SEGRETO RISERVATO Database Security INTERNO PUBBLICO 9

10 Security Data Governance - Modello All interno di un approccio strutturato alla Security Data Governance si evidenziano due fasi focalizzate sulla rilevazione e Classificazione delle Informazioni. Classificazione delle Informazioni Implementazione delle misure di sicurezza Security Data Governance Model Rilevazione delle informazioni e dell architettura dei dati Security Risk Process Data Definizione Remediation Plan Classificazione delle Informazioni ed identificazione dei rischi Sviluppo/ miglioramento di policy e processi di sicurezza 10

11 Classificazione delle Informazioni - Introduzione L informazione è definita come insieme di dati strutturati, aventi un valore ed un significato per la Società, che sono creati, diffusi, comunicati, cancellati, archiviati e utilizzati nello svolgimento delle attività lavorative, qualsiasi sia la forma e la tecnologia utilizzata per il loro trattamento e la loro conservazione. Il processo di Classificazione delle Informazioni è quel processo volto all identificazione del livello di criticità delle informazioni in funzione dei requisiti di riservatezza, integrità e disponibilità, al fine di definire il livello di classifica più adeguato e adottare le misure di protezione più idonee. La Classificazione delle Informazioni risponde pertanto all esigenza di tutelare, in un modello bilanciato: Requisiti Vincoli Confidenzialità Integrità Disponibilità Classificazione Livello di protezione desiderato Sostenibilità dei costi Esigenze di condivisione (need-to-know vs. need-to-share) 11

12 Classificazione delle Informazioni - Benefici I benefici attesi, derivanti dall implementazione di un processo di Classificazione delle Informazioni aziendali, sono trasversali rispetto all Organizzazione. Pianificazione strutturata di interventi migliorativi sui processi e sull infrastruttura informatica Consapevolezza del personale circa il livello di sensibilità delle informazioni e delle procedure da adottare per la loro tutela Riduzione dei rischi di compromissione del patrimonio informativo aziendale Riduzione dei costi di gestione delle informazioni non business - critical e dei costi derivanti da procedimenti sanzionatori Incremento della conoscenza e del controllo sul patrimonio informativo aziendale 12

13 SOCIETÁ: XXXXXXX SpA M1 - MODULO RILEVAZIONE INFORMAZIONI UNITA' M1 - ORGANIZZATIVA MODULO RILEVAZIONE / PROGRAMMA: INFORMAZIONI SOCIETÁ: XXXXXXX SpA ALTRI SOGGETTI COINVOLTI UNITA' M1 - MODULO ORGANIZZATIVA RILEVAZIONE / PROGRAMMA: INFORMAZIONI XXXXXXXX ANNO DI INIZIO ARCHIVIO ARCHIVIO APPLICAZIONE INFORMAZIONE DESCRIZIONE OWNER TIPOLOGIA ARCHIVIAZIONE ELETTRONICO DI CARTACEO DI REDAZIONE / DI RIFERIMENTO ACCESSO DELLO STORICO RIFERIMENTO RIFERIMENTO SOCIETÁ: XXXXXXX SpA ALTRI SOGGETTI MODIFICA COINVOLTI UNITA' ORGANIZZATIVA / PROGRAMMA: XXXXXXXX ANNO DI INIZIO ARCHIVIO ARCHIVIO APPLICAZIONE INFORMAZIONE DESCRIZIONE OWNER TIPOLOGIA ARCHIVIAZIONE ELETTRONICO - Central File DI CARTACEO DI Documento di analisi nel quale è - Progettazione REDAZIONE / DI RIFERIMENTO ACCESSO DELLO STORICO - ADDP / OCEWEB RIFERIMENTO - Archivio dell'unità RIFERIMENTO riportato lo studio preliminare - Marketing ALTRI SOGGETTI MODIFICA Elettronico COINVOLTI e - Altri programmi di Studio di prefattibilità Dott. XXXX Enti esterni (es. partner) PC utente XXX (per lo storico relativo alle scelte architetturali e - Pianificazione Strategica cartaceo calcolo ANNO DI INIZIO ARCHIVIO ARCHIVIO APPLICAZIONE prodotto solo in di dimensionamento. INFORMAZIONE DESCRIZIONE e Business OWNER Development TIPOLOGIA ARCHIVIAZIONE ELETTRONICO - Central File DI CARTACEO DI Documento di analisi nel quale è - Progettazione REDAZIONE / DI RIFERIMENTO cartaceo) ACCESSO DELLO STORICO - ADDP / OCEWEB RIFERIMENTO - Archivio dell'unità RIFERIMENTO riportato lo studio preliminare - Marketing MODIFICA Elettronico e - Altri programmi di Studio di prefattibilità Documento di analisi definitivo, Dott. XXXX Enti esterni (es. partner) PC utente XXX (per lo storico relativo alle scelte architetturali e - Pianificazione Strategica cartaceo calcolo evoluzione dello studio di prodotto solo in di dimensionamento. e Business Development - Central File prefattbilità, elaborato in funzione Documento di analisi nel quale è - Progettazione cartaceo) - ADDP / OCEWEB - Archivio dell'unità dei contributi specialistici degli riportato lo studio preliminare - Marketing Elettronico e - Altri programmi di Studio di prefattibilità Documento di analisi definitivo, Dott. XXXX Enti esterni (es. partner) Central - PC File utente XXX (per lo storico altri enti aziendali. inviate dalle relativo alle scelte architetturali e - Progettazione - Pianificazione Strategica cartaceo calcolo evoluzione dello studio di - ADDP /OCEWEB - Archivio dell'unità prodotto solo in altre funzioni aziendali e di di dimensionamento. - Marketing e Business Development Elettronico e - Altri programmi di Studio di fattibilità prefattbilità, elaborato Dott. in funzione XXXX Enti esterni (es. partner) PC utente XXX (per lo storico cartaceo) ulteriori attività di analisi - Pianificazione Strategica cartaceo calcolo dei contributi specialistici degli prodotto solo in congiunta. Il documento Documento di analisi definitivo, e Business Development - Central File altri enti aziendali. inviate dalle - Progettazione cartaceo) contenete dati tecnici evoluzione dello studio di - ADDP /OCEWEB - Archivio dell'unità altre funzioni aziendali e di - Marketing Elettronico e - Altri programmi di Studio di fattibilità (architetturali e di prefattbilità, elaborato Dott. in funzione XXXX Enti esterni (es. partner) PC utente XXX (per lo storico ulteriori attività di analisi - Pianificazione Strategica cartaceo calcolo dimensionamento) ed economici dei contributi specialistici degli prodotto solo in congiunta. Il documento e Business Development - Central File (fattibilità economica). altri enti aziendali. inviate dalle - Progettazione cartaceo) contenete dati tecnici - ADDP /OCEWEB - Archivio dell'unità altre funzioni aziendali e di - Marketing Elettronico e - Altri programmi di Studio di fattibilità (architetturali e di Dott. XXXX Enti esterni (es. partner) PC utente XXX (per lo storico Disegno a supporto Disegno e relativi allegati tecnici ulteriori attività di analisi - Pianificazione Strategica cartaceo calcolo dimensionamento) ed economici - Progettazione - MS Office prodotto solo in dello studio di prodotti a supporto dello studio congiunta. di Dott. Il documento XXXX e Business Development Elettronico 1980 PC utente (fattibilità economica). - Enti esterni (es. partner) - CATIA cartaceo) prefattibilità / fattibilità fattibilità. contenete dati tecnici (architetturali e di Disegno a supporto Banca dati per Disegno l esecuzione e relativi di allegati tecnici dimensionamento) ed economici - Progettazione - MS Office dello studio di calcoli di dimensionamento prodotti a supporto dello studio di Dott. XXXX Elettronico 1980 PC utente (fattibilità economica). - Progettazione - Enti esterni (es. partner) - Altri programmi - CATIA di Banca dati prefattibilità / nell ambito fattibilità dello fattibilità. studio di Dott. XXXX Elettronico 1990 PC utente - Enti esterni (es. partner) calcolo prefattibilità Disegno a supporto e dello studio di Banca dati per Disegno l esecuzione e relativi di allegati tecnici fattibilità - Progettazione - MS Office dello studio di calcoli di dimensionamento prodotti a supporto dello studio di Dott. XXXX Elettronico 1980 PC utente - Progettazione - Enti esterni (es. partner) - Altri programmi - CATIA di Banca dati prefattibilità / nell ambito fattibilità dello fattibilità. studio di Dott. XXXX Elettronico 1990 PC utente Documento di sintesi delle - Enti esterni (es. partner) calcolo - ADDP / OCEWEB prefattibilità e dello studio di attività, predisposto in funzione Banca di dati per l esecuzione di (non Reportistica fattibilità Dott. XXXX Vertici aziendali Elettronico - MS Office specifiche esigenze (es. richiesta calcoli di dimensionamento sistematicamente) - Progettazione - Altri programmi di del Banca management). dati nell ambito dello studio di Dott. XXXX Elettronico PC utente PC utente Documento di sintesi delle - Enti esterni (es. partner) calcolo - ADDP / OCEWEB prefattibilità e dello studio di attività, predisposto in funzione di (non Reportistica fattibilità Dott. XXXX Vertici aziendali Elettronico - MS Office specifiche esigenze (es. richiesta sistematicamente) del management). - PC utente Documento di sintesi delle - ADDP / OCEWEB attività, predisposto in funzione di (non Reportistica Dott. XXXX Vertici aziendali Elettronico - MS Office specifiche esigenze (es. richiesta sistematicamente) del management). - PC utente XXXXXXXX NATURA DELL'INFORMAZIONE DANNO LIVELLO DI LIVELLO DI LIVELLO DI INFORMAZIONE OWNER Organizzativ Obblighi CLASSIFICA - CLASSIFICA - NOTE Economica / Tecnica / CLASSIFICA Strategica a / di Economico Immagine legali e DRAFT STORICO finanziaria tecnologica processo NATURA DELL'INFORMAZIONE DANNO contrattuali LIVELLO DI LIVELLO DI LIVELLO DI Innovation and R&D INFORMAZIONE Strategy Strategie di Sviluppo OWNER Organizzativ Documento da considerare storico dopo 10 Molto grave Molto grave Molto grave Obblighi CLASSIFICA - CLASSIFICA - NOTE Plan Tecnologico Economica / Tecnica / CLASSIFICA Strategica a / di Economico Immagine legali Confidential e Confidential DRAFT Restricted STORICO anni finanziaria tecnologica processo contrattuali NATURA DELL'INFORMAZIONE DANNO Strategie di Sviluppo Documento da considerare storico dopo 10 Mappatura tecnologie aziendali Molto grave Molto grave Molto grave LIVELLO DI LIVELLO DI Innovation and R&D Strategy Tecnologico Strategie di Sviluppo Confidential Confidential LIVELLO DI Restricted anni Documento da considerare storico dopo 10 INFORMAZIONE OWNER Molto grave Molto grave Molto grave Plan Tecnologico Organizzativ Obblighi CLASSIFICA - CLASSIFICA - NOTE Economica / Tecnica / Confidential CLASSIFICA Confidential Restricted anni Strategica a / di Economico Immagine legali e DRAFT STORICO Mappatura tecnologie aziendali Strategie di Sviluppo finanziaria tecnologica processo Grave Grave Grave contrattuali per FNM Tecnologico Strategie di Sviluppo Restricted Restricted Restricted Documento da considerare storico dopo 10 Mappatura tecnologie aziendali Molto grave Molto grave Molto grave Tecnologico Confidential Confidential Restricted anni Innovation and R&D Strategy Strategie di Sviluppo Documento da considerare storico dopo 10 Strategie di Sviluppo Molto grave Molto grave Molto grave Documento da considerare storico dopo 10 Roadmap Tecnologica Plan Tecnologico Molto grave Molto grave Molto grave Confidential Confidential Restricted anni Mappatura tecnologie aziendali Tecnologico Strategie di Sviluppo Confidential Confidential Restricted anni Grave Grave Grave per FNM Tecnologico Restricted Restricted Restricted Strategie di Sviluppo Documento da considerare storico dopo 10 Piano di implementazione Mappatura della tecnologie aziendali Molto grave Molto grave Molto grave Documento da considerare storico dopo 10 - PM Tecnologico Molto grave Molto grave Molto grave Confidential Confidential Restricted anni Roadmap Tecnologica Strategie di Sviluppo Confidential Confidential Restricted anni Documento da considerare storico dopo 10 Roadmap Tecnologica Molto grave Molto grave Molto grave Tecnologico Confidential Confidential Restricted anni Mappatura - tecnologie RTPR aziendali Strategie di Sviluppo Grave Grave Grave per FNM - Sponsor della Tecnologico Restricted Restricted Restricted Piano di implementazione della Scheda proposta di ricerca Documento da considerare storico dopo 10 ricerca (es. - funzione PM Lieve Molto grave Lieve Molto Nessun gravedanno Molto grave Internal Internal Internal Roadmap Tecnologica Confidential Confidential Restricted anni aziendale) Strategie di Sviluppo Documento da considerare storico dopo 10 Roadmap Tecnologica Molto grave Molto grave Molto grave - PM - RTPR Tecnologico Confidential Confidential Restricted anni Proposta Tecnica / Capitolato - Sponsor della - RTPR Grave Grave Grave Tecnico Scheda proposta Piano di di ricerca implementazione ricerca della (es. funzione Lieve Lieve Nessun Restricted danno Internal Confidential Internal Restricted Internal Documento da considerare storico dopo 10 - PM Molto grave Molto grave Molto grave Roadmap Tecnologica aziendale) Confidential Confidential Restricted anni - PM Consortium Agreement - PM - RTPR Lieve Grave Grave Proposta Tecnica / Capitolato Restricted Restricted Restricted - RTPR - Sponsor della Grave Grave Grave Tecnico Scheda proposta di ricerca ricerca (es. funzione Lieve Lieve Nessun Restricted danno Internal Confidential Internal Restricted Internal aziendale) Scheda ricerca - RTPR Lieve Lieve Lieve Internal Internal Internal - PM Consortium Agreement - PM Lieve Grave Grave Restricted Restricted Restricted Proposta Tecnica / Capitolato - RTPR Grave Grave Grave Tecnico Restricted Confidential Restricted Scheda ricerca - RTPR Lieve Lieve Lieve Internal Internal Internal Consortium Agreement - PM Lieve Grave Grave Restricted Restricted Restricted Scheda ricerca - RTPR Lieve Lieve Lieve Internal Internal Internal Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni SOCIETÁ: Studio di prefattibilità Studio di fattibilità Banca dati Reportistica INFORMAZIONE Disegno a supporto dello studio di prefattibilità / fattibilità OWNER Strategica XXXXXXX SpA NATURA DELL'INFORMAZIONE Organizzativ a / di processo M3 - MODULO CLASSIFICAZIONE INFORMAZIONI UNITA' ORGANIZZATIVA / PROGRAMMA: DANNO Obblighi Economico - finanziaria Tecnologica Economico Immagine legali e contrattuali Dott. XXXX Molto grave Molto grave Molto grave Dott. XXXX Molto grave Molto grave Molto grave Dott. XXXX Molto grave Molto grave Molto grave Dott. XXXX Grave Grave Grave Dott. XXXX Molto grave Molto grave Molto grave LIVELLO DI CLASSIFICA Confidential Confidential Confidential Restricted Confidential LIVELLO DI CLASSIFICA - DRAFT Confidential Confidential Confidential Restricted Confidential XXXXXXXX LIVELLO DI CLASSIFICA - STORICO Internal Internal Internal Restricted Restricted NOTE Documento da considerarsi storico dopo 15 anni Documento da considerarsi storico dopo 15 anni Documento da considerarsi storico dopo 15 anni Documento da considerarsi storico dopo 15 anni 13

14 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni Definizione della metodologia di Classificazione delle Informazioni Definizione delle linee guida per la classificazione Definizione dello strumento per la classificazione Definizione delle misure da adottare, in funzione della criticità delle informazioni 14

15 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni Identificazione delle informazioni trattate dalle strutture organizzative Identificazione delle modalità di visualizzazione e accesso ai dati aziendali Identificazione delle applicazioni/informazioni che risiedono sugli Asset IT e dei relativi Data Owner Mappatura degli archivi elettronici o cartacei di riferimento per la memorizzazione delle informazioni 15

16 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni Valutazione dell impatto derivante dalla compromissione della riservatezza, integrità e disponibilità delle Informazioni Classificazione delle Informazioni sulla base dei livelli/categorie definiti e secondo le regole date 16

17 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni Rilevazione dei controlli/contromisure presenti (AS IS) a protezione delle informazioni aziendali censite Analisi degli scostamenti tra AS IS ed i controlli previsti in funzione del livello di Classificazione delle Informazioni Identificazione degli adeguamenti da apportare ai controlli esistenti e dei controlli da implementare exnovo (TO BE) di tipo logico, organizzativo e fisico 17

18 Gli impatti da governare Il processo di Information Governance consente alle Organizzazioni di individuare, gestire e governare le Informazioni al fine di implementare meccanismi di protezione delle stesse. È chiaro come una mancata implementazione di tali meccanismi possa avere impatti seri sull Organizzazione. Gli impatti non riguardano soltanto la perdita economica derivante dalla fuoriuscita di materiale confidenziale o da sanzioni, ma possono riguardare anche danni di tipo reputazionale. Normativa Il mancato rispetto delle normative vigenti, comporta delle sanzioni economiche e la possibilità che chi è stato danneggiato dalla violazione ricorra ad azioni legali Business Una violazione della sicurezza informatica può comportare interruzioni nell operatività aziendale e la sottrazione di informazioni strategiche per l azienda Reputazione Un evento di Data Breach potrebbe comportare il danneggiamento dell immagine pubblica dell azienda, questa tipologia di danno seppur difficile da stimare può rappresentare uno di quelli a maggior impatto 18

19 Normative & Standard - Ultimi aggiornamenti Circolare n. 263 di Banca d Italia Definizione di uno standard aziendale di Data Governance, al fine di assicurare l integrità, la completezza e la correttezza dei dati. Definizione della gestione della sicurezza informatica in termini di sicurezza delle informazioni e dei beni aziendali. PCI-DSS 3.0 Aggiornamento dello standard PCI per rispondere in modo più efficace alle nuove minacce e ai cambiamenti associati all evoluzione del mercato. Ad esempio: Gestione delle terze parti Sicurezza fisica dei terminali Gestione account e password Normative & Standard ISO 27001:2013 Aggiornamento dello standard per la gestione sicura delle informazioni, ad esempio: Valutazione dei rischi sulla base dell impatto derivante dalla compromissione della confidenzialità, dell integrità e della disponibilità delle informazioni Domini specifici relativi alla gestione della crittografia e della sicurezza delle informazioni nei rapporti con le terze parti Privacy Regolamento UE n. 611/2013 «il fornitore notifica all autorità nazionale competente la violazione di dati personali entro un termine di 24 ore...» Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. Data Breach) - 4 Aprile

20 Conclusioni Spesso le società adottano modelli di Security Data Governance solo per rispondere ad un obbligo imposto dal Legislatore e non per rispondere all esigenza di protezione dei dati e delle Informazioni gestite. Solo adottando la Cultura della Classificazione delle Informazioni si potrà avere la corretta metodologia per implementare un Information Governance. Le informazioni sono una componente strategica del patrimonio aziendale, che deve, pertanto, essere tutelata e gestita opportunamente La Classificazione delle Informazioni permette la massimizzazione della protezione derivante dalle misure di sicurezza implementate L incremento dell attività normativa di enti governativi ed organizzazioni internazionali ha condotto ad un incremento degli obblighi di compliance 20

21 Grazie! Giuseppe Blasi Andrea Gaglietto

22 22