GDPR, le nuove regole per la protezione dei dati personali. Roma, 27 marzo 2018

Documenti analoghi
GDPR Come valutare i rischi IT e la sicurezza dei dati

InfoSec: non solo firewall e antivirus. Massimo Grandesso

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Processi, Tool, Servizi Professionali

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

La corretta gestione dei processi informatici del nuovo GDPR

Il nuovo modello di gestione della privacy Davide Grassano

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

S u m m e r M e e t i n g 2018

Privacy by Design: evoluzione e implicazioni

PERCORSO FORMATIVO CYBER SECURITY. by SIMULWARE & IAMA SP. sales professional

Gestire la conformità Privacy in modo semplice

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Valutazione d impatto e gestione integrata dei rischi

Misure minime di sicurezza ICT per le pubbliche amministrazioni

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

La norma ISO/IEC Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor.

Security Governance. Focus sui principali controlli critici. Armando Leotta. Security Summit Roma 2013

Seminario sul suo recepimento in ISS

Bologna, 24/5/ 16 - Workshop Smart Metering: esperienze a confronto Cyber Security e Smart Meter

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI

Sicuramente

Servizi di Sicurezza Gestiti

Privacy e requisiti per la Cybersecurity nella PA

POLICY DI SICUREZZA INFORMATICA

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

Sicurezza delle informazioni: oltre la tecnologia

La nuova edizione della norma ISO (seconda parte)

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI. Treviso 21 Novembre 2017

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

I trend emergenti e lo scenario di riferimento

Your Reliable IT Solution Partner.

IT governance. La normativa IVASS

CHI SIAMO LABORATORIO QUALIFICATO

Sicurezza end-to-end alle aziende per tutte le risorse IT e compliance al GDPR

Cybersecurity, come difendersi dal furto dati

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

DATA BREACH E SICUREZZA INFORMATICA: La segnalazione delle violazioni tra GDPR e D.Lgs. 65/2018

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

SGSI CERT CSP POSTE ITALIANE

Premio FORUM PA 2017: 10x10 = cento progetti per cambiare la PA

Assicuriamoci Di essere pronti a gestire il Cyber Risk. 14 Marzo2017

Cybersecurity e Hardware: che cosa prevede il GDPR

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Sicurezza dei sistemi. e servizi IT. Privacy e Cyber Security: strumenti tecnici ed organizzativi per la sicurezza. dei dati. Ing.

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Advanced Security Operations

Base7Germany GmbH. Allegato 1 Misure tecniche e organizzative

Ministero dell Interno Dipartimento per gli Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici

MailArchive per l archiviazione sicura delle sul Cloud

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

15 Aprile 2016, Trento

GDPR: azioni raccomandate dal legale

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI


Come sta reagendo il mondo assicurativo al Rischio Cyber

MIL-QOD /MGadg. Agyo Privacy. Overview

Cybersecurity per la PA: approccio multicompliance Sogei

Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016 Gli obblighi per i Comuni

GDPR: il nuovo regolamento Privacy

GDPR Strumenti di supporto per la Governance. Davide Benvenga Roma 27/03/2018

Aspetti legali dell'information security: data breach e responsabilità Avv. David D'Agostini

IT Operations Analytics Come il Log Management può essere di supporto alle certificazioni ISO Georg Kostner, Würth Phoenix

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Gestione della sicurezza e della conformità. Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

Il concetto di sicurezza informatica: le politiche di contrasto alla criminalità informatica

Le iniziative Consip a supporto

IL NUOVO REGOLAMENTO Analisi e impatto sul sistema informatico

POLITICA PER LA PROTEZIONE DEI DATI PERSONALI

Misure di sicurezza e protezione dei dati personali: GDPR e ISO27001 si incontrano. Gloria Marcoccio e Matteo Indennimeo

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

The first all-in-one Cloud Security Suite Platform

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Risultati, cioè attenzione ai risultati.

La CyberSecurity nel modello ICT per la PA

Il registro dei trattamenti e la DPIA (Data Protection Impact

Il digitale: la chiave del business 2 / 29

Global Cyber Security Center

Datacenter Innovation

KeyMap Analisi del Rischio

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Transcript:

GDPR, le nuove regole per la protezione dei dati personali Roma, 27 marzo 2018

GDPR, le nuove regole per la protezione dei dati personali Analisi dei rischi IT e PIA ing. Corrado Pomodoro Misure di sicurezza [corrado.pomodoro@hspi.it] Gestione dei data-breach 2

Rischio 81 ricorrenze della parola rischio 3

L'analisi dei rischi conseguenze per i diritti degli interessati * = RISCHIO = probabilità della violazione * in caso di violazione di Riservatezza, Integrità o Disponibilità dei dati 4

Quando? Con riferimento alla valutazione d'impatto (PIA), il regolamento ne stabilisce l'obbligo nel caso di "rischio elevato per i diritti e le libertà* delle persone fisiche" [art. 35] Secondo il gruppo di lavoro ex articolo 29 (WP29): - distruzione accidentale o illegale [D] - perdita dei dati [D] - modifica non voluta [I] - diffusione non consentita [R] "In pratica, ciò significa che i titolari del trattamento devono continuamente valutare i rischi creati dalle loro attività al fine di stabilire quando una tipologia di trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche". "Va sottolineato che al fine di poter gestire i rischi per i diritti e le libertà delle persone fisiche, detti rischi devono essere regolarmente individuati, analizzati, stimati, valutati, trattati (ad esempio attenuati, ecc.) e riesaminati. I titolari del trattamento non possono sottrarsi alla loro responsabilità stipulando polizze assicurative." * diritti alla protezione dei dati e alla vita privata, inclusi la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione [WP29] 5

Con quali tecniche o strumenti? ISO 31000, ISO 27005, NIST SP800-30, linee guida ENISA, altre all'orizzonte Non serve necessariamente uno strumento (nelle realtà più complesse aiuta) Serve un approccio strutturato in fasi: Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione delle possibili minacce e della loro probabilità Valutazione dei rischi (come combinazione di probabilità ed impatto) Fase 5 Misure di mitigazione (proporzionate al rischio) 6

Fase 1. Analisi dei rischi definizione del contesto Considerando le diverse fasi del trattamento: raccolta, elaborazione, uso, archiviazione, trasferimento, rimozione, etc. Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Quali sono i trattamenti sui dati personali? Quali sono le categorie di dati personali trattati? Qual è lo scopo dei trattamenti? Quali sono le categorie di interessati? Chi sono i destinatari dei dati? Con quali strumenti sono trattati i dati? Dove ha luogo il trattamento? 7

Fase 2. Analisi dei rischi valutazione degli impatti [1 di 2] Livello di impatto Descrizione Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Molto alto Inconvenienti significativi con conseguenze anche irreversibili (impossibilità di lavorare, conseguenze psicologiche permanenti, morte, etc.). Alto Medio Inconvenienti significativi, superabili solo con serie difficoltà (sottrazione di denaro, limitazioni di credito, danno di proprietà, citazione in giudizio, conseguenze per la salute, perdita impiego, etc.). Inconvenienti significativi, superabili con qualche difficoltà (costi extra, impedimento a ricevere servizi, preoccupazione, stress). Basso Conseguenze minori, superabili senza particolari problemi (fastidio, perdita di tempo per reintroduzione dei dati, ). 8

Fase 2. Analisi dei rischi valutazione degli impatti [2 di 2] Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Considerazioni Considerazioni sull'impatto per gli interessati in caso di diffusione non autorizzata (perdita di riservatezza) dei dati. Valutazione impatto Basso Medio Alto Molto alto Considerazioni sull'impatto per gli interessati in caso di alterazione non autorizzata (perdita di integrità) dei dati. Considerazioni sull'impatto per gli interessati in caso di distruzione o perdita (perdita di disponibilità) dei dati. 9

Fase 3. Analisi dei rischi identificazione possibili minacce e loro probabilità [1 di 3] Minacce e probabilità di accadimento dipendono da: Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Infrastrutture tecnologiche (hardware e software) Processi e procedure Parti coinvolte (persone e organizzazioni) nei trattamenti Settore di business e scala dei trattamenti La difficoltà dell'analisi è proporzionale alla complessità del contesto 10

Fase 3. Analisi dei rischi identificazione possibili minacce e loro probabilità [2 di 3] Infrastrutture tecnologiche Ci sono parti del trattamento che avvengono via internet? Quando il trattamento avviene anche parzialmente via internet aumenta la possibilità di attacchi on-line (DOS, SQL injection, Man-in-the-middle) specialmente quando il servizio è accessibile pubblicamente via internet. Processi e procedure Ruoli e responsabilità sono vaghi o non chiaramente definiti? Fase 1 Definizione del contesto Fase 2 Valutazione degli impatti Fase 3 Identificazione minacce e probabilità La mancanza di chiare definizioni di ruoli e responsabilità, può tradursi in accessi non controllati ai dati Fase personali 4 Valutazione con conseguenti dei rischi violazioni e compromissione della sicurezza dei sistemi. Il sistema IT è interconnesso ad altri sistemi interni o esterni? L'interconnessione con altri sistemi può introdurre minacce addizionali. Soprattutto in caso di configurazioni non adeguatamente controllate. Gli impiegati possono utilizzare dispositivi personali per connettersi ai sistemi? L'utilizzo di dispositivi personali aumenta il rischio di diffusione di dati o accessi non autorizzati. Il mancato controllo centrale dei dispositivi può introdurre più facilmente bachi o virus nei sistemi. Utenti non autorizzati possono facilmente ottenere l'accesso agli ambienti IT? Sebbene il focus dell'analisi sia sui sistemi informatizzati, anche l'ambiente fisico ha un'importanza rilevante per la protezione dei dati e può determinare serie minacce alla salvaguardia dei dati. I trattamenti possono essere eseguiti senza che vengano creati e conservati log delle attività? La mancanza di appropriato monitoraggio e logging delle attività sui sistemi può aumentare la probabilità di violazioni intenzionali o accidentali. Parti coinvolte Settore di business e scala dei trattamenti I trattamenti sono eseguiti da un numero imprecisato di persone (interne e/o esterne all'organizzazione) Quando i trattamenti dei dati possono essere eseguiti da un grande numero di persone i possibili abusi aumentano a causa del cosiddetto "fattore umano" Il settore di business è soggetto ad attacchi cyber? La ricorrenza di incidenti di natura informatica nello stesso settore di business è una indicazione da non sottovalutare per la valutazione di possibili violazioni dei propri dati. Ci sono parti del trattamento condotte da terze parti (responsabili del trattamento)? Il coinvolgimento di una terza parte può comportare una perdita parziale di controllo sui dati. Inoltre ulteriori minacce possono essere introdotte dalle terze parti. I trattamenti riguardano grandi volumi di dati e/o di interessati? Il tipo e il volume di dati personali può incrementare l'appetibilità per i potenziali attaccanti. Il personale coinvolto nei trattamenti è poco consapevole delle implicazioni di sicurezza? La scarsa sensibilizzazione rispetto alle implicazioni e a i rischi IT aumenta l'esposizione dei dati alle minacce esistenti. Ci sono buone prassi di sicurezza applicabili al settore che non sono state adeguatamente applicate? La mancata applicazioni di misure di sicurezza raccomandate dalle buone prassi può incrementare il livello di esposizione e di vulnerabilità alle minacce. 11

Fase 3. Analisi dei rischi identificazione possibili minacce e loro probabilità [3 di 3] Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Area di valutazione Probabilità Bassa [1] Media [2] Alta [3] Molto alta [4] Infrastrutture tecnologiche Processi e procedure Parti coinvolte (persone e organizzazioni) nei trattamenti Settore di business e scala dei trattamenti Somma dei risultati Livello di probabilità 13-16 Molto alta 9-12 Alta 6-8 Media 4-5 Bassa 12

Fase 4. Analisi dei rischi valutazione dei rischi Fase 1 Fase 2 Fase 3 Fase 4 Definizione del contesto Valutazione degli impatti Identificazione minacce e probabilità Valutazione dei rischi Livello di impatto Molto alto Alto Medio Basso C I, D Basso Medio Alto Molto Alto Livello di probabilità 13

Fase 5 - Misure di mitigazione (proporzionate al rischio) [1/2] Fase 5 Misure di mitigazione Devono rispondere alle aree di debolezza risultanti dall'analisi dei rischi (probabilità) La loro individuazione è facilitata da diversi framework internazionali: ISO/IEC 27001 CIS (Center for Internet Security) Critical Security Controls (ex SANS 20) NIST 800-53 o NIST cybersecurity framework (su cui si basa il framework nazionale per la cybersecurity) Linee guida ENISA 14

Fase 5 - Misure di mitigazione (proporzionate al rischio) [2/2] Fase 5 Misure di mitigazione ISO/IEC 27001 Annex A A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16 Information security incident management A.17 Information security aspects of business continuity mgmt A.18 Compliance Pseudonimizzazione, anonimizzazione, crittografia, cancellazione, trasportabilità, accessi controllati (password sicure), accountability, non sono necessariamente misure sufficienti né sempre adeguate! Critical Security Control 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software 4 Continuous Vulnerability Assessment and Remediation 5 Controlled Use of Administrative Privileges 6 Maintenance, Monitoring, and Analysis of Audit Logs 7 Email and Web Browser Protections 8 Malware Defenses 9 Limitation and Control of Network Ports 10 Data Recovery Capability 11 Secure Configurations for Network Devices 12 Boundary Defense 13 Data Protection 14 Controlled Access Based on the Need to Know 15 Wireless Access Control 16 Account Monitoring and Control 17 Security Skills Assessment and Appropriate Training to Fill Gaps 18 Application Software Security 19 Incident Response and Management 20 Penetration Tests and Red Team Exercises 15

Difficoltà e misure proporzionali alla complessità del contesto rete multinazionale decine o centinaia di server on-site e in cloud (iaas, paas, saas) / migliaia di client complessa supply-chain interconnessa svariati trattamenti (dipendenti, clienti, fornitori, pubblico) 5-10 sedi in rete virtuale privata 6-20 server / 100-1000 client Cloud per office e business (crm, HR) fornitori e partner connessi diversi trattamenti (dipendenti, clienti) 70 300 domande Approccio analitico e ricorsivo (con verifiche tecniche approfondite (VA/PT) e audit di processo) Sistema di gestione (ISMS) necessario Revisione continua Organizzazione strutturata coerente con il modello di business 30-100 domande Approccio analitico e ricorsivo (con verifiche tecniche e audit di processo) Sistema di gestione (ISMS) raccomandato Revisione frequente Organizzazione strutturata 2 4 sedi in rete virtuale privata 2 5 server / 20-100 client cloud saas office (gmail, office365) pochi trattamenti 20-50 domande Misure standard e ad hoc Revisione annuale Unica sede / piccola LAN 1-2 server / 10-20 client cloud saas office (gmail, office365) pochi trattamenti (es. solo dipendenti) 20-30 domande Misure standard Revisione discrezionale Complessa Strutturata Definita Semplice 16

Gestione dei data-breach Fase 0 Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Segnalazione di possibile Data Breach Accertamenti preliminari Assenti Il Titolare è reso consapevole di una violazione di dati personali Valutazione rischi per i diritti e le libertà delle persone derivanti dalla violazione 72 ore Elevati Presenti Invio notifica al Garante Rischio elevato quando riguarda: - quantitativo rilevante di dati personali - categorie particolari di dati personali - dati che possono accrescere ulteriormente i potenziali rischi (localizzazione, finanziari, relativi ad abitudini e preferenze) - rischi imminenti e con alta probabilità di accadimento - soggetti considerati vulnerabili per le loro condizioni (pazienti, minori, soggetti indagati) Invio comunicazione agli interessati Registrazione e conservazione della violazione nel registro dei trattamenti 17

Grazie per l'attenzione. corrado.pomodoro@hspi.it 348 9997200 18

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back