Transcript

1 Security Summit Roma 2010 TAVOLA ROTONDA Il furto di informazioni: impatti legali e organizzativi e tecnologie a supporto Gli impatti legali ed organizzativi Dott. Angelo Jannone [email protected]

2 EVOLUZIONE DELLO SCENARIO ANNI 00 ANNI 90 Spazi aperti e virtuali Competizione Esternalizzazioni e delocalizzazioni Sviluppo tecnologie ANNI 80 ANNI 70

3 SCENARIO ATTUALE caratteristiche Facilità di propagazione di informazioni sensibili Era dell UGC (User Generated Content) Botnet Spam Worm Spamdexing Text message truffa Insider Proliferazione e complessità delle tipologie di attacchi (oltre 23 milioni nel 2008) Phishing e frodi bancarie, telefoniche e su strumenti di pagamento Ma anche riciclaggio Insider trading, etcc.. interesse crescente della criminalita organizzata per il crimine informatico

4 ma sopratutto CI Infrastrutture critiche nazionali COM 702/04 ECI Infrastrutture critiche europee COM 702/04 Infrastrutture critiche informatizzate COM 149/09 Si stima una probabilità di avaria grave nel del 10-20%

5 SCENARIO ATTUALE Esempio di Botnet ATTACCO BOTNET

6 Gli obiettivi del sistema di controllo interno e le informazioni EFFICACIA EFFICENZA INTEGRITA PATRIMONIALE TRASPARENZA DEI DATI CONTABILI COMPLIANCE

7 GLI IMPATTI LEGALI d.lgs 196/03 Codice sulla Protezione dei dati personali T.U.F. d.lgs 68/98 e successive modifiche (l.62/05 e L.262/05) Serbanes Oxley Act (SOX) 2002 Codice Preda Autodisciplina delle Società Quotate Circolare ISVAP 577/05 Assicurazioni D.LGS 231/01 Responsabilità Amministrativa dell Ente da Reato (L.99/09 e l.48/08) Basilea II D.Lgs 70/2003 sul commercio elettronico

8 RESPONSABILITA CIVILE DI AZIENDE E ISP Un esempio FAPAV (la Federazione Anti-Pirateria AudioVisiva), ha citato in giudizio contro Telecom Italia lamentando l inerzia di quest ultima nella protezione da download illegali (Sentenza Trib. Roma 15 aprile 2010) Corte di Cassazione, sentenza n /09, ha affermanto il principio secondo cui l autorità giudiziaria può ordinare agli ISP (Internet Service Providers) di inibire agli utenti il traffico di rete verso determinati siti utilizzati per la commissione di illeciti penali.

9 Organizzazione per la sicurezza in strutture complesse OdV 231 Sovraintene al funzionamento del mod. 231 Comitato Rischi Valuta adeguatezza analisi dei rischi Comitato per il controllo interno Alta direzione dello SCI Legale/Complia nce Emana regole per adeguamento a norme di legge Security Internal Audit Controllo di II Livello Information management Process owner. Controllo di 1 livello IT HR/Organizzazi one Definisce organizzazione, ruoli e responsabilità HR/comunicazi one interna Politiche Politiche generali generali per la per Sicurezza la Sicurezza degli degli asset asset Gestione risk assessment. Misure di protezione fisica Protezione delle informazioni e dei sistemi informativi Misure tecniche di sicurezza informatica Progetta programmi di awerness e dirama procedure Responsabili del trattamento

10 Processo Modello controllo integrato (Regole, filtri, protezioni) Gap analisys Rispetto alla compliance Rispetto alla efficacia ed efficienza Rispetto alla protezione del patrimonio intangibile Rispetto alle necessità di tracciabilità e immodificabilità del dato RISK ASSESSMENT Framework normativo e rischi Mappatura informazioni e classificazioni Mappatura processi sensibili rispetto ai rischi legali Valutazione rischi

11 ? Tks