L'impatto del GDPR sulle strategie ICT

Transcript

1 L'impatto del GDPR sulle strategie ICT Workshop «GDPR - IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI, IMPATTO E SOLUZIONI» 25 Maggio 2017 Hotel Mulino di Firenze - Firenze Italo Lisi CIO Servizi ICT Scuola Sant Anna

2 Il Regolamento UE 2016/679 (GDPR) Scopo del regolamento è adeguare la Data Protection rispetto alle evoluzioni tecnologiche che hanno permesso lo sviluppo di flussi transfrontalieri di dati eliminare la frammentazione normativa presente nella UE conseguente alle differenti leggi nazionali di recepimento della direttiva 95/46 Si applica al trattamento automatizzato e non dei dati personali di soggetti in territorio UE e a Titolari/Responsabili di trattamento stabiliti in UE

3 GDPR in pillole / 1 GDPR è stato rilasciato nel Maggio 2016 con obbligo di implementazione entro 25 Maggio 2018 La conformità comporta l adozione di misure organizzative e tecniche Le misure organizzative includono ingaggio di un Data Protection Officer politiche e formazione circa il trattamento di dati personali e sensibili Data Protection Impact Assessment per ogni trattamento da eseguire

4 GDPR in pillole / 2 Le misure tecniche includono revisione globale delle strategie di memorizzazione e conservazione del dato tecniche di criptazione del dato revisione globale delle politiche di sicurezza perimetrale, interna e sugli endpoint per garantire capacità di risposta proattiva a fronte di data breach il focus è sulla protezione del dato personale, non più solo sulla privacy

5 Definire un data breach Data breach: incidente in cui dati sensibili, protetti o confidenziali sono stati potenzialmente esposti, rubati o usati da individui non autorizzati. Può coinvolgere informazioni personali sanitarie, identificative della persona e del suo ambito sociale, proprietà intellettuali o segreti commerciali.

6 Privacy by design (art.25) art. 25, Regolamento (UE) 2016/679, «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita»: il titolare mette in atto misure tecniche e organizzative adeguate non solo all atto del trattamento, ma anche nella precedente fase di determinazione dei mezzi del trattamento (c.d. «privacy by design») Lo sforzo legittimamente esigibile dal Titolare è parametrato allo stato dell arte della tecnologia ed ai costi di attuazione alla natura, all ambito di applicazione ed alle finalità del trattamento al livello di rischio per i diritti e le libertà delle persone fisiche

7 Privacy by default (art.25) Il Titolare deve raccogliere e trattare i soli dati necessari rispetto alle finalità per le quali gli stessi sono trattati (c.d. «principio di minimizzazione») Il Titolare mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, «per impostazione predefinita», solo i dati personali necessari per ogni specifica finalità del trattamento La «necessità» del trattamento deve essere valutata avendo riguardo alla quantità dei dati personali raccolti, alla portata del trattamento, al periodo di conservazione e all'accessibilità

8 Alcuni dati (preoccupanti) Indagine condotta da IDC per ESET nel 4Q del 2016 su campione di 700 PMI presenti in Italia, Repubblica Ceca, Germania, Paesi Bassi, Slovacchia e Regno Unito quasi il 78% dei responsabili IT delle aziende coinvolte non comprende l impatto della nuova normativa oppure non ne è proprio a conoscenza. Tra quelli che conoscono il GDPR, il 20% afferma di essere già conforme, il 59% si sta adeguando e il 21% afferma di non essere a norma. Estrapolando, ne risulta che a fine 2016 solo il 4% ca. delle PMI europee possono dichiararsi conformi al GDPR

9 La strada per la conformità 1. MAPPATURA Identifica i dati personali e dove sono archiviati 6. ACCORDI E CONTRATTI Estendi ai tuoi contratti di fornitura o accordi la richiesta di conformità 2. CLASSIFICAZIONE Classifica i dati e verifica su che basi possono essere portati all esterno dell organizzazione 5. DIRITTI DELL UTENTE Rivedi le modalità di gestione dei diritti dell utenza 3. POLITICHE PRIVACY Rivedi le politiche sulla privacy e sulla trasparenza 4. CONSENSO ESPLICITO Modifica le modalità di richiesta consenso come previsto dal regolamento

10 Aspetti tecnici ed organizzativi Per la conformità alle richieste della GDPR è richiesto un mix di risposte organizzative e tecnologiche. Dal punto di vista tecnologico, saranno essenziali strumenti e metodologie per la A. Gestione della raccolta e classificazione del dato e modalità di elaborazione B. Protezione del dato C. Gestione dei diritti del cittadino D. Sicurezza perimetrale, interna ed in mobilità E. Verifica della conformità per servizi esternalizzati e in cloud F. Gestione degli incidenti

11 A. Gestione della raccolta e classificazione del dato e modalità di elaborazione In questa categoria possiamo far ricadere le seguenti tematiche a) Gestione delle identità e dei diritti di accesso b) «Modernizzazione» delle applicazioni adibite alla raccolta, la memorizzazione e l elaborazione di dati personali c) Capacità di tracciare, catalogare e classificare tutti i dati gestiti

12 A. Gestione della raccolta e classificazione del dato e modalità di elaborazione (appr.) a) Gestione delle identità e dei diritti di accesso i. IDM integrato con HR management ii. Role/Attribute Based Access Control b) Raccolta dati personali: riscrittura moduli applicativi per nuovo consenso informato c) Mappatura dati i. Identificare i trattamenti e classificarli ii. Identificare Responsabili ed Incaricati (interni/esterni) iii. Estendere l analisi a backup/test/sviluppo e report

13 B. Protezione del dato Misure tecnologiche volte a prevenire l uso non autorizzato di dati a seguito di intrusioni o di intercettazione di flussi informativi non autorizzati: a) capacità di prevenire e proteggere l organizzazione da perdita di dati b) riduzione dell impatto del data breach tramite criptazione dei dati c) criptazione dei flussi di riconosciuti come sensibili d) ricorso a tecniche di pseudonimizzazione del dato per la separazione di elementi che possono essere utilizzati per associare o identificare specifiche persone direttamente collegabili al dato gestito

14 B. Protezione del dato (approfondimento) a) Prevenzione da perdita di dati i. Prevenzione rischi endpoint (es. A/V con blocco scritture su ii. periferiche) Gestione integrata sicurezza endpoint+firewall b) criptazione dei dati i. Dispositivi (anti-thieft configuration) ii. DB server iii. File Server iv. Backup e snapshot v. Report protetti vi. Flussi mail c) tecniche di pseudonimizzazione del dato: DBMS-based (costosa) o Application-based (più costosa)

15 C. Gestione dei diritti del cittadino I soggetti detentori dei dati personali hanno riconosciuti diversi diritti, fra cui citiamo (art.15) il diritto di accesso ai dati ed alle informazioni circa il loro utilizzo e alla portabilità del dato ad altro fornitore (art.16) il diritto alla rettifica di dati non corretti (art.17) il diritto all oblio, ovvero cancellazione e ritiro dei consensi (art.18) il diritto alla restrizione dell utilizzo In molti casi può essere conveniente predisporre web application che consentono all utente di esprimere i consensi/dinieghi ed esercitare questi diritti

16 D. Sicurezza perimetrale, interna e in mobilità Le tematiche di sicurezza impattano fortemente sulle capacità di limitazione dei data breach, in particolare a) sicurezza perimetrale (North-South) con tecniche di L5-7 deep analysis, che nel caso di modelli hybrid cloud deve poter gestire sia la componente in cloud che on premise dei datacenter b) sicurezza interna (East-West), attraverso metodologie di behavorial analytics & remediation che permettono proattivamente di bloccare potenziali pericoli c) sicurezza sugli endpoint e sui dispositivi mobile, che in caso di furto rendono inutilizzabile il dispositivo o i dati in esso contenuti d) BYOD si ma con cautela: adozione di 802.1X e ID provider federati

17 E. Verifica della conformità per servizi esternalizzati e in cloud La richiesta di conformità deve essere estesa a tutti i fornitori responsabili e/o incaricati del trattamento dati, compresi i cloud provider. Il ricorso indiscriminato a servizi in cloud ha creato spesso una situazione di completa perdita di controllo sugli elementi di conformità richiesti dal GDPR. E pertanto necessario selezionare i servizi in cloud di storage e sharing di contenuti verificando che il fornitore possa contrattualmente assicurare la conformità al GDPR impedire l utilizzo di tutti gli altri servizi (mail e storage/sharing) o implementare exit strategy per ricondurre la gestione del dato sotto controllo

18 F. Gestione degli incidenti Il GDPR impone tempi di reazione di max 72h in caso di accertamento della violazione dei dati. In tale tempo l organizzazione deve avvisare l autorità vigilante e, nel caso di violazione di dati personali e sensibili, notificare i soggetti individuali vittime della violazione. Ciò impone di essere in grado di rendersi proattivamente conto della violazione essere in grado di fare un audit per capire quali dati sono stati violati gestire la risposta organizzativa utilizzando il mix di strumenti tecnologici citati. La mancata notifica prevede pesantissime sanzioni (fino a per violazione)

19 Cosa fare?

20 Cosa NON fare?

21 Conclusioni Complessità nel gestire l intero processo: è necessario uno strong commitment da parte della dirigenza Sono richiesti sia interventi organizzativi che investimenti per garantire quantomeno la capacità di risposta Necessità di investimenti (capex) ed aumento dei costi di funzionamento (opex) dell ICT L analisi del rischio deve essere commisurata alle altissime sanzioni previste per singola violazione

22 Grazie Follow me on