ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

Transcript

1 ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

2 AGENDA Assessment GDPR Organizzativo e Tecnologico Approccio Omnitech IT GDPR Art.35 «Valutazione d impatto sulla protezione dei dati» Assessment & Risk Analysis Fase 0 - Pre-Assessment Fase 1 - Data Protection Impact ASSESSMENT Fase 1.1 Assessment Organizzativo e Tecnologico Fase Risk Assessment Fase 1.3 Presentazione dei Risultati La nostra squadra I Tool a supporto La nostra offerta completa Conclusione

3 IL NOSTRO APPROCCIO Consulenza specialistica Governance, Risk & Compliance, Normativa GDPR Security Knowledge Piano di Trattamento e Remediation Proposta di soluzioni tecnologiche e/o organizzative GDPR Assessment Best Practices ISO 27001, ISO 31000, ISO Valutazione iniziale livello di conformità Data Discovery & Classification Risk Assessment Tool a supporto

4 ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO OmnitechIT grazie alla sua esperienza a livello europeo nell ambito della sicurezza informatica, ha progettato una soluzione che facilita l analisi del tema GDPR e indirizza le attività propedeutiche alla revisione dei processi organizzativi ed informatici, nel rispetto di quanto richiesto dalla normative riguardo l individuazione delle misure di sicurezza tecniche ed organizzative. La Fase di Assessment dei processi di business che impattano i dati personali, da un punto di vista organizzativo, dei flussi e delle tecnologie adottate, permette un maggior controllo sugli stessi e complessivamente una governance più accurata in materia di data privacy come richiesto dal GDPR. Il percorso di Adeguamento GDPR deve essere sistematico e coerente. Obiettivo primario è infatti consentire alle imprese di essere regolarmente allineate rispetto al contesto tecnologico e all evoluzione normativa imposta dal GDPR, massimizzando le modalità di azione nel settore di mercato ricoperto.

5 APPROCCIO OmnitechIT offre un insieme di attività di consulenza specialistica di Assessment & Compliance che eroga nell ambito della Governance di Data Privacy e in particolare sulle tematiche relative al nuovo Regolamento GDPR. Attraverso i propri consulenti e seguendo le Best Practice del settore, OmnitechIT è in grado di supportare la Committente lungo tutti gli step di Assessment necessari per il raggiungimento e il mantenimento della conformità rispetto alla nuova normativa europea sulla data privacy (GDPR), queste fasi comprendono: Data Inventory, Discovery e Classification Data Protection Assessment Risk Assessment relativamente allo scenario GDPR Indicazioni per un piano di trattamento del rischio e remediation in termini di proposte riguardo le priorità e le soluzioni tecnologiche e/o organizzative. Il servizio di consulenza erogato da OmnitechIT potrà avvalersi di tool software specifici, appositamente strutturati per il Regolamento GDPR, durante le varie fasi progettuali ed in particolare durante il Data Discovery & Classification, la valutazione iniziale del livello di conformità, il Risk Assessment e la definizione del relativo piano di trattamento del rischio e remediation.

6 GDPR Art.35 «Valutazione d impatto sulla protezione dei dati» Assessment & Risk Analysis FASE 0: Data Protection Impact Pre-Assessment FASE 1: DPIA - Data Protection Impact Assessment Fase Security Assessment Organizzativo & Tecnologico Fase Risk Assessment & Action Plan Fase 1.3 Presentazione dei risultati Identificazione Livello di Conformità e definizione Piano di Azione

7 FASE 0 - PRE-ASSESSMENT OBIETTIVI Definire gli elementi minimi necessari all esecuzione dell Assessment: Perimetro di analisi, andando ad identificare la natura dei dati trattati, l'ambito di applicazione, il contesto e la finalità del trattamento. Modello organizzativo aziendale Tipologia di trattamenti eseguiti e da eseguire (new business) Tipologia di dati trattati e da trattare (new business) As IS rispetto all impianto privacy ex D.Lgs 196/03 Verifica ed allineamento di consistenza tra il perimetro di attività ed i tempi ipotizzati, rispetto alle effettive necessità e priorità di intervento rilevate METODOLOGIA Attraverso interviste si inizia ad identificare la natura dei dati trattati, l'ambito di applicazione, il contesto e la finalità del trattamento: questi elementi saranno utili alla fase successiva.

8 FASE 1.1-ASSESSMENT ORGANIZZATIVO/TECNOLOGICO OBIETTIVI Definizione AS IS come posizionamento dell Azienda verso il GDPR Valutazione del livello di iniziale di conformità alla normativa GDPR e mappatura del rischio con il supporto di tools di Governance, Risk e Compliance (GRC) appositamente strutturati per la normativa GDPR Individuazione e mappatura dei dati trattati, della loro tipologia, sia in formato cartaceo che in formato elettronico e relativo censimento degli asset La discovery dei dati con riferimento all art. 4 del GDPR presenti su supporti informatici, potrà avvenire attraverso l utilizzo di tools specifici laddove opportuno, e limitatamente al perimetro di intervento ed ai volumi e tipologie di dati individuati. METODOLOGIA Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico

9 FASE 1.1-ASSESSMENT ORGANIZZATIVO/TECNOLOGICO DESCRIZIONE Elementi da esaminare durante le interviste/raccolta dati: Mappatura degli ambienti (prod / pre-prod / test) Mappatura delle policy in essere Modello operativo e processi operativi Mappatura degli accessi logici e fisici Mappatura monitoraggio dei sistemi e servizi Metodologie di sviluppo software Analisi dei KPI, degli obiettivi e dei livelli di servizio definiti Piani e obiettivi strategici Architetture IT (piattaforme, diagrammi di connettività) Lista dei prodotti e servizi (inventory) Progetti di sviluppo in corso Piano di Disaster Recovery e/o Business Continuity

10 FASE 1.2 RISK ASSESSMENT&ACTION PLAN OBIETTIVI Il "Risk Assessment" o "Analisi del Rischio" è una metodologia volta alla determinazione del rischio associato a determinati pericoli o sorgenti di rischio. L attività viene eseguita al fine di: Identificare i rischi Analizzare i rischi Valutare i rischi Controllare i rischi In particolare si valuta l adeguato livello di sicurezza, quindi relativamente ai rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall accesso accidentale o illegale dei/ai dati personali trasmessi, conservati e comunque trattati (ART. 32 2) METODOLOGIA Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico

11 FASE 1.2 RISK ASSESSMENT&ACTION PLAN DEFINIZIONI La terminologia di riferimento è la seguente: Rischio (R): si intende la pericolosità di un evento ed è determinato dal prodotto tra P (Probabilità dell'evento) e G (Gravità), secondo la seguente formula: R = PxG Probabilità (P): si intende la probabilità che l'evento indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione. In genere viene distinta in 3-4 classi Gravità (G): detta anche Magnitudo (M), è intesa come la gravità delle conseguenze dell'evento indesiderato. In genere viene distinta in 3-4 classi Pericolo, sorgente di rischio: si intende l'entità o l'evento in grado di provocare i danni

12 FASE 1.2 RISK ASSESSMENT&ACTION PLAN MATRICE DEL RISCHIO La seguente tabella è un esempio applicativo di "Matrice del Rischio" risultante dalla combinazione di tre classi di probabilità e tre di gravità. OUTPUT Report sullo stato generale di rischio Risk Register relativo ai rischi associati alla normativa GDPR Report su indicazioni di priorità e adeguamenti procedurali e tecnici per la mitigazione del rischio

13 FASE PRESENTAZIONE DEI RISULTATI OBIETTIVI Presentazione e condivisione con il Management aziendale dei seguenti elementi: livello di conformità e sicurezza dell impianto organizzativo/tecnologico relativo alla Personal Data Protection livello di rischio riscontrato piano degli interventi tecnologico-organizzativi per incrementare il livello globale di conformità e migliorare lo stato generale della sicurezza DELIVERABLE 1) Assessment Report contiene tutte le evidenze dell assessment in termini di: Stato iniziale del livello di conformità valutata tramite i tools di GRC I risultati del Data Discovery tramite l utilizzo di tool software 2) Piano di Trattamento del rischio e remediation 3) Presentazione di sintesi

14 GDPR Art.32 «Sicurezza del trattamento» Adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio Risvolti IT Comma Titolo Soluzioni 32.1.a Pseudonimizzazione e cifratura dei dati personali Encryption, Tokenization, Data masking, Synthetic Data Generation 32.1.b 32.1.c 32.1.d Assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento Ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico Procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Transport encryption, IAM, DLP, Network Security, SIEM, High Availability, Backup, Disaster Recovery High Availability Backup, Disaster Recovery Analisi e trattamento del rischio Sistema per la gestione della sicurezza delle informazioni Log Management Audit tecnologico e di processo

15 GDPR Altri Articoli con risvolti IT Articolo Titolo Tema Soluzioni 5 Principi applicabili al trattamento di dati personali 6.4 Liceità del trattamento Integrità, Riservatezza, Responsabilizzazione Trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti Diritti dell interessato Accesso, Rettifica, Cancellazione (oblio), Limitazione,Portabilità, Opposizione Identity & Access Management Privileged Account Management DLP Data & Transport Encryption DB Activity Monitoring Vulnerability Assessment&Application Protection Data Masking, Encryption, Tokenization Synthetic Data Generation Pseudonimizzazione API Gateway Identity&Access Management

16 LA NOSTRA SQUADRA Con significative esperienze in ambito normativo nel settore della Privacy, presta consulenza e formazione in materia di diritto alla protezione dei dati nonché in ambito di responsabilità amministrativa degli enti Legal Consultant Security Architect Con significative esperienze nel settore della Sicurezza Informatica, nella progettazione e realizzazione di sistemi di Sicurezza Identity & Access Management e Networking, assume la responsabilità operativa del progetto. Con esperienze specifiche nel settore della Governance, Risk&Compliance GRC Specialist DPIA Assessment Security Consultant Con significative esperienze nella realizzazione di progetti complessi nell'ambito della Sicurezza Informatica che coordina e rendiconta il progetto con particolare attenzione dell aderenza alle normative di riferimento. Con significative esperienze nel settore della Sicurezza Informatica, nella progettazione e realizzazione di Governance Framewok, assume la responsabilità operativa del progetto GRC Architect Senior GRC Consultant Con significative esperienze nella realizzazione di progetti complessi nell'ambito della Governance, assume la responsabilità di coordinamento e rendicontazione del progetto nonché della verifica dell aderenza alla normativa di riferimento

17 Report Finale Risk Assessment Assessment Tecnologico/Organizzativo Pre-Assessment 35/40gg

18 I TOOL A SUPPORTO

19 ASSESSMENT ORGANIZZATIVO STRUTTURA QUESTIONARIO TIPO

20 COMPILAZIONE DEL QUESTIONARIO Art. 32 GDPR

21 WORKFLOW DI LAVORAZIONE Questionario completato Questionario revisionato ed approvato dal Cliente REPORT Finali

22 REPORT Percentuali di Compliance di ogni singola sezione del Questionario

23 REPORT

24 REPORT & RACCOMANDAZIONI

25 DATA DISCOVERY Dati su supporto elettronico Fase necessaria alla validazione del perimetro di applicazione della verifica GDPR Ricerca su dati strutturati (es.db) e File System Ricerca dei dati personali e sensibili, tramite formato (RegEx), parola chiave, nome del campo, ecc. Tool non invasivi (nessun agent installato sui sistemi oggetto di analisi) Reportistica con indicazione della posizione del dato (Tabella/Colonna, Volume\File), percentuali di frequenza e affidabilità

26 DATA DISCOVERY DATI STRUTTURATI Report del tipo di dato identificato in ogni campo Report di tutti i campi che contengono un tipo di dato cercato Export in formato.csv per eventuali report personalizzati

27 DATA DISCOVERY DATI NON STRUTTURATI Analisi dei metadata (nome file, tipo, data) e del contenuto (indexing) Report dei tipi di file e loro posizione che contengono un tipo di dato specifico (es.cf, IBAN) Export in formato.csv per eventuali report personalizzati

28 REPORT FINALE

29 GDPR - LA NOSTRA OFFERTA FASE 0: Data Protection Impact Pre-Assessment FASE 4: Verifica e Controllo à Audit FASE 1: DPIA - Data Protection Impact Assessment Fase Security Assessment Organizzativo&Tecnologico Fase 1.2 Risk Assessment&Action Plan Fase 1.3- Presentazione dei risultati Identificazione Livello di Conformità e definizione Piano di Azione FASE 2: Implementazione/miglioramento Processi/tool e supporto all applicazione FASE 3: Formazione del personale interno FASE 5: Manutenzione e Monitoraggio

30 GDPR LA NOSTRA OFFERTA- Dettaglio Fasi AS IS TO BE FASE FASE 0: Data Protection Impact Pre- Assessment Fase 1: Esecuzione dell Assessment Oganizzativo & Tecnologico, Risk Assessment & Action Plan, Presentazione dei risultati Fase 2: implementazione/adeguamento del processo/strumenti e supporto alla messa in atto Fase 3: Formazione del personale interno Fase 4: Verifica e Controllo à Audit Fase 5: Manutenzione e Monitoraggio DESCRIZIONE Individuazione: del contesto nel quale opera l organizzazione, l area geografica, la tipologia dei dati trattati, metodo di conservazione dei dati. Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico, definizione del rischio e Piano di azione; Comunicazione al management aziendale delle misure di sicurezza organizzative/tecnologiche da implementare Elaborazione dei processi di Nomine, Comunicazione verso le autorità di controllo, Codice di condotta e certificazione, gestione dell incidente, gestione del data breach, etc Formare il personale e renderlo consapevole riguardo il trattamento dei dati personali e sensibili. E renderlo consapevole dei dei rischi derivanti dal loro trattamento. Attraverso audit interni si verifica l efficacia dell applicazione delle misure di sicurezza adottate (Audit di processo e Audit Tecnologici VA/PT) Controllo e miglioramenti continuo

31 ASSESSMENT INTEGRATO ORGANIZZATIVO E TECNOLOGICO PER LA GDPR IL MODELLO DI PREZZO Offerta STANDARD Include la consulenza di assessment compliance avvalendosi del tool GRC operato da OmnitechIT Offerta ESTESA Aggiunge al pacchetto standard il sevizio di data discovery e catalogazione avvalendosi dei tool nel perimetro di riferimento su repository strutturati e non.

32 ASSESSMENT INTEGRATO ORGANIZZATIVO E TECNOLOGICO PER LA GDPR IL MODELLO DI PREZZO ENTRAMBE le offerte sono A CORPO Versione STANDARD Il prezzo del pacchetto è funzione del numero delle entità organizzative oggetto del servizio. Versione ESTESA Il prezzo è funzione sia del numero di entità organizzative, sia dei volumi dei dati oggetto della Discovery automatica. (misurati in Istanze DB e Tb di dati non strutturati)

33 GRAZIE