S u m m e r M e e t i n g 2018

Documenti analoghi
PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

Seminario sul suo recepimento in ISS

IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

Il nuovo modello di gestione della privacy Davide Grassano

Cybersecurity e Privacy oggi: normative e quotidianità

La sicurezza nel GDPR. Giulio Vada Assintel Confcommercio Emilia-Romagna Country Manager G DATA Software Italia

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Alessandro Gaspari Data Center Specialist

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

Valutazione d impatto e gestione integrata dei rischi

Processi, Tool, Servizi Professionali

La corretta gestione dei processi informatici del nuovo GDPR

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Base7Germany GmbH. Allegato 1 Misure tecniche e organizzative

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Privacy in azienda: Il GDPR e l impatto sulle aziende

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Servizi di Sicurezza Gestiti

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

GDPR: accountability e approccio dell OdI

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Bologna, 24/5/ 16 - Workshop Smart Metering: esperienze a confronto Cyber Security e Smart Meter

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

GDPR: il nuovo regolamento Privacy

Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale. mail:

Allegato 1- Format per la presentazione di nuovo Profilo/Obiettivo da inserire nel Repertorio

Organizzare le risorse e rendere sicure le Informazioni per lo sviluppo nel tempo di Industria 4.0. Workshop

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Da una protezione perimetrale ad una user centric Security Summit Verona

LA NUOVA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

La protezione dei dati nell era del mobile device: rischi e opportunità nell uso di tablet e smartphone. Daniele Gombi

ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Disaster Recovery, Business Continuity

STANDARD PER LA GESTIONE DEI RAPPORTI TRA TIROLARE E RESPONSABILE DEL TRATTAMENTO - VERSIONE 1.0

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

Privacy by Design: evoluzione e implicazioni

Pianificazione e Controllo Attività

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

ESSERE CONFORMI ALLA NUOVA NORMATIVA PRIVACY CON IL SISTEMA DATA PROTECTION STEFANELLI

Procedura di gestione delle violazioni di dati personali (Data Breach)

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Le Politiche di Sicurezza. Angelo BIANCHI

Seminario sul suo recepimento in ISS

Sicurezza end-to-end alle aziende per tutte le risorse IT e compliance al GDPR

GDPR - Audit Checklist DATA PROTECTION GAP ANALYSIS

RESILIENZA E GDPR Rivisitazione della nostra struttura

Cybersecurity e Hardware: che cosa prevede il GDPR

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

A cura dell Avv. Federica Spuri Nisi

PREPARARSI AL NUOVO REGOLAMENTO PER LA PROTEZIONE DEI DATI (GDPR)

GDPR: azioni raccomandate dal legale

GDPR General Data Protection Regulation

Protezione dei dati, privacy e sicurezza informatica

Servizio Calcolo e Reti

REGOLAMENTO UE 2016/79 SUL TRATTAMENTO DEI DATI PERSONALI

LETTERA DI NOMINA DI RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI. Fasano (BR), / /20. Spett.le. tanto premesso, il Comune di Fasano La nomina

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Il nuovo Regolamento europeo sulla protezione dei dati personali

ELENCO MISURE DI SICUREZZA

Misure di sicurezza tra NIS e GDPR: brevi appunti ed alcune semplici riflessioni

Sezione 1 - Gestione e governance della protezione dei dati

12 Aprile 2018, Hotel Garden - Terni. «Dalla Privacy alla Cybersecurity: Sfide e opportunità per l impresa oggi» Giulio Carducci

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

ALLEGATI. A) Registro attività di trattamento

Le iniziative Consip a supporto

Policy di sicurezza e di protezione dei dati

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

NOMINA DI RESPONSABILE ESTERNO DEI TRATTAMENTI DI DATI PERSONALI AI SENSI DEL REGOLAMENTO UE 679/16.

E POSSIBILE SEGUIRE LE LEZIONI, OLTRE CHE IN AULA, ANCHE IN MODALITA E.LEARNING ON.LINE.

Sistemi informativi in ambito sanitario e protezione dei dati personali

General Data Protection Regulation

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

Le iniziative Consip a supporto

La sicurezza nella PA: dati e considerazioni

1. INFORMATIVA. sempre e comunque e soprattutto acquisire la ricevuta di averla comunicata all interessato

IL NUOVO GDPR COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

Sicurezza ICT: Aspetti legali, privacy (GDPR) e responsabilità

IL NUOVO REGOLAMENTO Analisi e impatto sul sistema informatico

AGID: Le misure minime di sicurezza ICT per la PA. Documento di sintesi della Circolare AGID

Le Misure Minime di sicurezza ICT per le Pubbliche Amministrazioni

Gestione della violazione dei dati (Data Breach)

Transcript:

G D R P I t a l i a O p e r a t o r i e c o n s u l e n t i S u m m e r M e e t i n g 2018 Ing. Santo Lo Piparo Data Protection Consultant Dott. Alessandro Feltrin Risk manager

GDPR: SUL CONCETTO DI RISCHIO E BILANCIAMENTO DEGLI INTERESSI Approcci aziendali sul rischio: L IT valuta il rischio qualitativamente, effettuando in primo luogo un inventario degli asset e classificando, per gli stessi, le minacce Il Manager stima come l effetto dell incertezza impatta sugli obiettivi o la probabilità che un evento (potenzialmente dannoso) accada per il costo delle sue conseguenze Le due visioni non tengono conto del Bilanciamento degli interessi che deve essere «misurato» nelle azioni/trattamenti dei dati rilevabili in ogni azione aziendale. Il percorso di adeguamento è caratterizzato da variabili e aspetti che talvolta non trovano nell immediato una risposta tecnica e/o organizzativa adeguata.

2 GDPR ASPETTI PRELIMINARI 01Maggiore salvaguardia e attenzione ai diritti del soggetto del trattamento, ergo maggiore protezione e sicurezza 02 Necessità di un ripensamento dell organizzazione aziendale per interpretare il regolamento nel proprio contesto 03 Ampi margini di azione al titolare nell attuare misure di protezione in maniera adeguata ai rischi valutati (responsabilizzazione) burocratizzazione: testimoniare esternamente l implementazione di controlli e stimolare internamente un 04Maggiore atteggiamento proattivo o risk-based

COS E IL RISCHIO INFORMATICO Per "rischio informatico" si intende qualsiasi rischio di perdita finanziaria, interruzione o danno alla reputazione di un' organizzazione a causa di un qualsiasi tipo di guasto dei suoi sistemi informatici. La percezione del rischio informatico è una degli aspetti aziendali più difficili da far accettare in un ambiente organizzativo. L idea che «se le operazioni correnti sono sicure per me, allora è sicuro per tutti» non è più vera in epoca di GDPR. La percezione del rischio informatico, troppo spesso è maturato solo dopo il determinarsi di una DANNO per l organizzazione.

3 GDPR: ARTICOLO 32.1 SICUREZZA DEL TRATTAMENTO Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: A. la pseudonimizzazione e la cifratura dei dati personali; B. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; C. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; D. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

3 GDPR: ARTICOLO 32.1 SICUREZZA DEL TRATTAMENTO Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Obbligo di attuare misure di sicurezza adeguate in considerazione dei seguenti elementi: - Lo stato dell arte e i costi di attuazione - La natura e il campo di applicazione del trattamento - Il contesto e le finalità del trattamento - Il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone

GDPR SICUREZZA DEI DATI Art. 5 (1)(b) Lo scopo per il quale si stanno raccogliendo i dati personali Art. 5 (1)(d) Mantenere i dati sempre aggiornati e corretti Art. 5 (1)(f) Evitare qualsiasi operazione non autorizzata o contraria alla legge Art. 5 (2) Essere in grado di dimostrare ottemperanza delle norme del GDPR quando richiesto Arti. 4 (1) Implementare le adeguate misure tecnico-organizzative Art. 25 (2) I dati personali dovrebbero essere processati solo per lo scopo per il quale sono stati raccolti 8

GDPR SICUREZZA DEI DATI Art. 30 Mantenere uno storico di tutte le operazioni avvenute sui dati Art. 32(1)(a) Assicurare sempre confidenzialità e criptare i dati quando necessario Art. 32(1)(b) Assicurare la disponibilità, confidenzialità e integrità dei dati in ogni fase Art. 32(1)(d) Testare ciclicamente l efficacia delle misure di sicurezza adottate Art. 32(2) Implementare un piano di gestione dei rischi, che ponga in essere meccanismi di controllo Art. 33 In caso di violazione, informare tempestivamente le autorità competenti entro 72 ore 8

UN ESEMPIO DI RETE IT AZIENDALE WiFi LAPTOP DEVICE CLOUD GATEWAYS PUBLIC WEB SERVER PROXY DMZ WEB SITE ROUTER SERVER NAS DATA CENTER IN FIREWALL LAN EX FIREWALL VPN USER OFFICE PHONE PRINTER

UNA RETE IT AZIENDALE LA SICUREZZA DIFESE FISICHE Rilevatori di fumo ed incendio e umidità Sistemi anti-intrusione PROXI Separazione delle aree Accessi controllati Protezione fisiche SERVER NAS DATA CENTER Certificazioni degli impianti e delle reti Sistemi di raffreddamento e climatizzazione

UNA RETE IT AZIENDALE LA SICUREZZA CONTINUITA OPERATIVA Alimentazione e continuità di energia Backup e loro storaggio Mirroring Ridondanza dei dati SERVER NAS Testing - Restore Management plan

UNA RETE IT AZIENDALE LA SICUREZZA SICUREZZA LOGICA Monitoring degli accessi data log Management degli incidenti: Log Files - Gestione degli accessi Antivirus Antimalware Identificazione ed autenticazione degli utenti SERVER USER IDS: Intrusion Detection System PROXI Limitazione di traffico Cifratura o criptografia dei dati Gestione degli archivi, manutenzione e distruzione dei dati Penetration test

UNA RETE IT AZIENDALE LA SICUREZZA Strumenti tecnologici per mettere in sicurezza tutti gli asset che gestiscono dati personali. SICUREZZA LOGICA Sistemi in grado di gestione di un registro di tutte le attività che interessano la data protection Una soluzione specifica per identificare e gestire le vulnerabilità che possono sorgere nel tuo ambiente DEVICE DEVICE Rendere sempre identificabile l utente che attraverso account privilegiati ha accesso a dati sensibili ROUTER Un sistema di monitoraggio degli asset e dei sistemi che gestiscono dati personali USER LAPTOP IDS: Intrusion Detection System Dotarsi di una procedura standard per identificare, rispondere prontamente e creare un report nel caso in cui si verifichino infrazioni. Adottare adeguate misure di sicurezza e criptografia per i dati personali in transito nel tuo ambiente.

UNA RETE IT AZIENDALE LA SICUREZZA WEBSITE Policy Privacy Informative e consensi Implementare il protocollo TLS (HTTPS) Analisi delle vulnerabilità Gestione dei cookies Gestione degli account WEB SITE Limitare le porte di comunicazione Gestione dei servizi, Social network Gestione degli accessi di amministrazione

UNA RETE IT AZIENDALE LA SICUREZZA GESTIONE DELLA SICUREZZA E DELLA CONSAPEVOLEZZA Organigrammi, Incarichi Informazione e formazione Adeguamento alla tecnologia esistente Documentazione, evidenze, procedure istruzioni Procedure per il controllo e il monitoraggio WEB SITE Policy, Regolamenti interni Manutenzione preventiva Informative e consensi in relazione al trattamento

Grazie

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back