IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Transcript

1 IL GDPR E LA COMPLIANCE Strumenti a servizio della sicurezza dei sistemi informativi 6 Giugno 2017

2 Principi applicabili al trattamento (Art. 5) Il GDPR all art. 5 impone il rispetto di una serie di Principi generali, tra cui il PRINCIPIO DI INTEGRITA E RISERVATEZZA DEI DATI: I dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").

3 Protezione dei dati by design e by default L art. 25 del Regolamento impone il rispetto di altri due Principi fondamentali correlati alla sicurezza dei dati: Principio di protezione dei dati personali in fase di progettazione (By Design) per qualsiasi tipo di progetto che comporti l utilizzo di dati personali. Adozione di opportune misure volte a garantire che siano trattati di Default solo i dati personali necessari per le finalità del trattamento.

4 Valutazione d'impatto (Art. 35) Il Regolamento introduce l obbligo di effettuare una valutazione di impatto (Data Protection Impact Assessment) quando l utilizzo di dati personali potrebbe comportare un elevato rischio per i diritti e le libertà degli individui. Descrizione sistematica dei trattamenti previsti e delle finalità del trattamento; Valutazione necessità e proporzionalità dei trattamenti in relazione alle finalità; L analisi dei rischi per i diritti e le libertà degli interessati; Le misure previste per ridurre i rischi;

5 Risk Management Risk Treatment Risk Identification Valutazione del contesto Mappare il flusso dati e comprendere il contesto interno ed esterno Risk Analysis Identificare il livello di criticità per ogni tipologia di dati trattati Risk Evaluation Implementare un processo di analisi dei rischi che identifichi le fonti del rischio, le cause, le conseguenze e le probabilità di accadimento Categorizzare il rischio e comprendere come poterlo eliminare o ridurne le conseguenze Attuare delle contromisure atte a ridurre i rischi individuati GETSOLUTION

6 Sicurezza dei dati (Art. 32) Il Regolamento introduce l obbligo di attuare MISURE DI SICUREZZA ADEGUATE in considerazione dei seguenti elementi: lo stato dell'arte e i costi di attuazione; la natura e il campo di applicazione del trattamento; il contesto e le finalità del trattamento; il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone.

7 Sicurezza dei dati (Art. 32) Misura tecnica Le misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio e comprendere: Ove opportuno, sistemi di pseudonimizzazione o crittografia dei dati; Garanzie di riservatezza, integrità, disponibilità e recupero dei dati personali e dei sistemi che li custodiscono e li elaborano; Requisiti di sicurezza Accesso tempestivo ai dati in caso di un evento dannoso fisico o tecnico; Processi di verifica periodica dell efficacia ed effettiva applicazione delle misure di sicurezza in atto.

8 Data Breach (Artt. 33 e 34) In caso di Data Breach il Titolare del trattamento ha l obbligo di notificare l avvenimento all Autorità di controllo, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il titolare del trattamento è tenuto ad informare anche gli interessati se la violazione può comportare una grave ed elevata compromissione dei loro diritti e delle libertà. Per Data Breach si intende qualsiasi violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati

9 La Sicurezza dei Dati nel GDPR Protezione dei dati by Design e di Default Principio di integrità, disponibilità e riservatezza RISK ANALYSIS Data Breach Notification Misure Adeguate

10 Misure adeguate per la sicurezza dei dati Backup & Replication Redundant system High Availability Cluster Disponibilità e recupero dei dati personali Data Loss prevention system Business Continuity Plan Accesso tempestivo ai dati in caso di un evento dannoso Disaster Recovery Plan

11 Misure adeguate per la sicurezza dei dati Utenze personali Accesso autorizzato ai dati e ai sistemi Password complesse e con scadenza Strong / Multilevel Authentication Profili Need to Know Gestione dei privilegi Sistemi di encryption Sistemi di pseudonimizzazione Separazione degli ambienti Antivirus e Firewall Intrusion Prevention / Detection System Mobile Device Management - MDM Cancellazione sicura, automatica e definitiva dei dati Riservatezza dei dati By Default

12 Misure adeguate per la sicurezza dei dati Sistemi di encryption Antivirus e Firewall Intrusion Prevention / Detection System Rilevazione e monitoraggio delle vulnerabilità tecniche Integrità dei dati Vulnerability assessment e penetration test Registrazione dei log degli eventi Incident Reporting Data Breach Notification Filtraggio e blocco per la navigazione in internet e il download Procedure di back up

13 Standard Internazionali ISO/IEC 27001:2013 sicurezza delle informazioni L International Standard ISO/IEC 27001: 2013 è finalizzato a proteggere la riservatezza, l integrità e la disponibilità delle informazioni di un organizzazione tramite un insieme di processi, controlli e attività mirate alla analisi e alla gestione dei rischi a cui sono soggette. La ISO/IEC 27001:2013 fornisce gli elementi principali per un efficace sistema di gestione per la sicurezza delle informazioni (Information Security Management System ISMS)

14 Standard Internazionali ISO 22301:2012 gestione della continuità operativa La Norma ISO 22301:2012 definisce i processi necessari per un Sistema di Gestione della Continuità del Business. Garantire la Continuità operativa di un azienda significa predisporre, mantenere e aggiornare una serie di misure organizzative e tecniche necessarie sia per prevenire il verificarsi di eventi avversi sia per garantire, nel caso in cui si verifichino, il continuo svolgimento delle principali attività aziendali. L obiettivo del Business Continuity Management (BCM) è quindi quello di consentire all Azienda di continuare ad operare senza interruzioni anche se colpiti da un incidente.

15 PER INFORMAZIONI Dott.ssa Paola Generali Managing Director cell: Via Ippolito Rosellini n Milano Italy Tel: + 39 (0) Fax: + 39 (0) info@getsolution.it