XXVII Convegno Nazionale AIEA

Transcript

1 XXVII Convegno Nazionale AIEA Classificazione delle Informazioni e Data Loss Prevention Impatti normativi da governare Milano, 3 Ottobre 2013 Giuseppe Blasi Alessandro Santacroce Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

2 Agenda Information Governance 3 Classificazione delle Informazioni 4 Data Loss Prevention 5 Digital Right Management 6 Impatti da Governare 7 Impatti Reputazionali 8 Impatti Normativi 9 Conclusioni Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

3 Introduzione Key topics M3 - MODULO CLASSIFICAZIONE INFORMAZIONI UNITA' ORGANIZZATIVA / SOCIETÁ: XXXXXXX SpA XXXXXXXX PROGRAMMA: NATURA DELL'INFORMAZIONE DANNO LIVELLO DI LIVELLO DI LIVELLO DI INFORMAZIONE OWNER Organizzativ Obblighi CLASSIFICA - CLASSIFICA - NOTE Economico - Strategica a / di finanziaria Tecnologica Economico Immagine CLASSIFICA legali e DRAFT STORICO processo contrattuali Company Company Documento da considerarsi storico dopo 15 Studio di prefattibilità Dott. XXXX Molto grave Molto grave Molto grave Internal Confidential Confidential anni Company Company Documento da considerarsi storico dopo 15 Studio di fattibilità Dott. XXXX Molto grave Molto grave Molto grave Internal Confidential Confidential anni Disegno a supporto dello Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Internal studio di prefattibilità / fattibilità Confidential Confidential anni Company Company Company Banca dati Dott. XXXX Grave Grave Grave N/A Restricted Restricted Restricted I miei dati sono protetti? Rispetto I requisiti di legge e dei regolamenti di settore? Sono consapevole dei requisisti di Data Protection? Reportistica Company Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Confidential Confidential Restricted anni Normative e regolamenti Legge 28 Dicembre 2005, n. 262 Sarbanes Oxley Act 2002 D. Lgs. 8 Giugno 2001, n. 231 D. Lgs. 30 Giugno 2003, n. 196 Circolare n.263/2006 B.I. Impatti Management Data Privacy Data Security Vendor Management Incident Response Physical Security Training & Awareness Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

4 Information Governance Informazione Information Governance Definita come un insieme di dati strutturati, aventi un valore ed un significato per la Società, che sono creati, diffusi, comunicati, cancellati, archiviati e utilizzati nello svolgimento delle attività lavorative, qualsiasi sia la forma e la tecnologia utilizzata per il loro trattamento e la loro conservazione. Maintain / Retain Dispose Information Life Cycle Use / Retrieve Security Policy & Process Refinement Create / Receive Distribute Comprende i processi di Classificazione delle Informazioni, Data Loss Prevention e Digital Right Management che supportano le aziende nell adozione di un programma di gestione delle diverse tipologie di Informazioni durante il loro intero ciclo di vita Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

5 Classificazione delle Informazioni Requisiti Vincoli Confidenzialità Integrità Disponibilità Livello di protezione desiderato Sostenibilità dei costi Esigenze di condivisione (need-to-know vs. needto-share) Il processo di Classificazione delle Informazioni è quel processo volto all identificazione del livello di criticità degli Asset IT in funzione dei requisiti di riservatezza, integrità e disponibilità delle Informazioni trattate Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

6 Data Loss Prevention Il processo di Classificazione delle Informazioni produce il risultato di definire subsets informativi a diversi livelli di granularità. Per esempio è possibile individuare quali sono i server più critici e come sono distribuite le Informazioni all interno dei server critici in termini di confidenzialità, integrità e disponibilità. M3 - MODULO CLASSIFICAZIONE INFORMAZIONI SOCIETÁ: XXXXXXX SpA UNITA' ORGANIZZATIVA / PROGRAMMA: XXXXXXXX INFORMAZIONE OWNER NATURA DELL'INFORMAZIONE DANNO LIVELLO DI LIVELLO DI LIVELLO DI Organizzativ Obblighi CLASSIFICA - CLASSIFICA - Economico - Strategica a / di finanziaria Tecnologica Economico Immagine CLASSIFICA legali e DRAFT STORICO processo contrattuali NOTE Studio di prefattibilità Studio di fattibilità Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Internal Confidential Confidential anni Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Internal Confidential Confidential anni Disegno a supporto dello Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Internal studio di prefattibilità / fattibilità Confidential Confidential anni Banca dati Company Company Company Dott. XXXX Grave Grave Grave Restricted Restricted Restricted N/A Reportistica Company Company Company Documento da considerarsi storico dopo 15 Dott. XXXX Molto grave Molto grave Molto grave Confidential Confidential Restricted anni Il processo di Classificazione delle Informazioni e i suoi risultati sono al contempo un opportunità e un prerequisito per l implementazione degli opportuni strumenti di Data Loss Prevention Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

7 Digital Right Management Una volta definita l architettura di Data Loss Prevention è possibile individuare specifiche soluzioni tecniche e organizzative per la sua messa in esercizio. Il Digital Right Management rappresenta una soluzione tecnica per applicare un sistema di DLP. Il DRM è un sistema di protezione dei file che consente la tutela del diritto d autore dei contenuti digitali. La protezione dei contenuti è, ad oggi, una delle problematiche più importanti che gli owner di contenuti digitali affrontano. Il possessore della proprietà intellettuale decide sul diritto di copiare (copyright) o consumare (vedere, ascoltare) i contenuti del file Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

8 Gli Impatti da Governare Information Governance Comprende i processi di Classificazione delle Informazioni, Data Loss Prevention e Digital Right Management che supportano le aziende nell adozione di un programma di gestione delle diverse tipologie di Informazioni durante il loro intero ciclo di vita. Maintain / Retain Dispose Information Life Cycle Use / Retrieve Security Policy & Process Refinement Create / Receive Distribute Impatti Una mancata implementazione dei meccanismi di Information Governance può avere impatti che non riguardano soltanto la perdita economica derivante dalla fuoriuscita di materiale confidenziale, ma possono riguardare anche danni all immagine della società Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

9 Impatti Reputazionali Il 78% dei consumatori si informa online prima di effettuare acquisti Misurare la reputazione significa monitorate costantemente le percezioni e le opinioni degli stakeholder di riferimento e la filiera degli stakeholder rilevanti. Il 90% dei consumatori afferma di fidarsi delle recensioni lette online notorietà solidità La reputazione è una misura multidimensionale: capacità di generare profitti trasparenza orientamento al cliente oltre ad analizzare la misura sintetica della reputazione, vanno considerate le dimensioni analitiche che la compongono ognuna di esse porta con sé impatti diversi sugli stakeholder e conseguenze di natura e di entità differente. Banca Competitor 1 Competitor Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

10 Gli impatti e le esigenze normative Sarbanes Oxley Act e Legge 262/2005 Diffusione di Informazioni pertinenti e comunicazioni tempestive Istituzione di un idoneo Sistema di Controllo Interno Classificazione delle Informazioni D. Lgs 231/2001 e D. Lgs 196/2003 Reati informatici Implementare misure di controllo all accesso dei dati Implementare misure minime di sicurezza Data Loss Prevention Circolare n. 263 Banca d Italia e PCI Data Security Standard Continuità Operativa Implementare e mantenere un programma di Vulnerability Management Digital Right Management Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

11 Conclusioni È in costante crescita la complessità delle Informazioni critiche gestite dalle Organizzazioni La complessità delle Informazioni critiche dipende dal binomio need to know / need to share Dal need to share derivano impatti che spesso non sono correttamente controllati dalle Organizzazioni Spesso le società adottano tali modelli per rispondere ad un obbligo imposto dal Legislatore e non per rispondere all esigenza di protezione dei dati e delle Informazioni gestite. Solo adottando la Cultura della Classificazione delle Informazioni si potrà avere la corretta metodologia per implementare un Information Governance, evitando che la compliance normativa sia vista come un ostacolo all implementazione di un più idoneo Modello Organizzativo Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto

12 Grazie! Giuseppe Blasi Alessandro Santacroce

13 Protiviti S.r.l. - Confidenziale - Le informazioni contenute nel presente documento è destinato esclusivamente per l evento XXVII Convegno Nazionale AIEA e pertanto