Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Documenti analoghi
Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

Sicuramente

La governance dei fornitori

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Esperienze PCI: key point e suggerimenti per una applicazione efficiente ed efficace dello standard

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

Gestione integrata dei rischi e data protection: casestudy

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

CALENDARIO CORSI 2019 SEMESTRE I

NIS e GDPR: compliance istituzionali, competenze, risorse. Elisabetta Zuanelli

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Da una protezione perimetrale ad una user centric Security Summit Verona

Corso di Formazione GDPR: STRUMENTI E APPROCCI PER RECEPIRE IL NUOVO REGOLAMENTO EUROPEO N. 2016/679 (COD )

Integrated Risk Management. Platform. Tutti i diritti riservati ESC 2 srl

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

Gestione della sicurezza e della conformità. Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

COBIT 5 for Information Security

IIT E I SUOI CENTRI. Central Research Laboratories, GENOVA. 29 Maggio 2018 Misure minime di sicurezza ICT: esperienze a confronto

Protection Regulation Italia

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

Processi, Tool, Servizi Professionali

Standard Contrattuali per il Cloud Computing

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

IT governance. La normativa IVASS

SWASCAN. Company Profile

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY APPROCCIO METODOLOGICO PER LE ATTIVITÀ DI ADEGUAMENTO. AL GDPR 20 Febbraio 2019

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Privacy e requisiti per la Cybersecurity nella PA

Governance, Risk and Compliance.

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su )

Marco Salvato, KPMG. AIEA Verona

Elisabetta Zuanelli. Webinar, 26 ottobre 2017

GDPR Strumenti di supporto per la Governance. Davide Benvenga Roma 27/03/2018

Costruire un nuovo ecosistema per i servizi finanziari del futuro

Cybersecurity, come difendersi dal furto dati

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

GDPR: impatti operativi e opportunità

L evoluzione della cyber security per la pubblica amministrazione: GDPR, risk analysis e cloud

Information Risk Management (IRM)

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Third Party Assurance Reporting

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Un'efficace gestione del rischio per ottenere vantaggi competitivi

EPICK la tua piattaforma GRC PRINCIPALI REFERENZE. EPICK REFERENZE_IT Pag. 1/6

Cloud Transformation: Opportunità e sfide

EY Cybersecurity Advanced Class

Copyright IKS srl

Le iniziative Consip a supporto

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

LA SICUREZZA NEI SISTEMI DI CONSERVAZIONE DIGITALE

PORTAFOGLIO dei Servizi. maggio / 2019

Il nuovo modello di gestione della privacy Davide Grassano

DATA PROTECTION E PRIVACY OFFICER

ITIL e PMBOK Service management and project management a confronto

Cybersecurity per la PA: approccio multicompliance Sogei

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

PROTEZIONE DEI DATI: QUALE RUOLO PER LA CERTIFICAZIONE?

Quelli che. la sicurezza non è mai abbastanza! Luca Bechelli. Direttivo e Comitato Tecnico Scientifico

Data Programma Docente. Dal Codice Privacy al Regolamento Europeo 2016/679

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

ISA Presentazione della società. isaitalia.it

TIG Leadership Program: Securing the new Digital Enterprise: Sicurezza & Risk Management nell era digitale

Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

GRC. Governance, Risk & Compliance. Company Profile. Roma, Maggio 2019

ISO 50001:2011: Integrazione con ISO 14001:2004 e altri sistemi di gestione

Politica per la Gestione del Servizio

ISA Presentazione dei servizi. isaitalia.it

ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security

Allegato A) Servizio 1 Convenzione CONFINDUSTRIA CH-PE

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Osservatorio normativo EY

measures to ensure a high common level of network and information security across the Union 3

Sicurezza dei sistemi. e servizi IT. Privacy e Cyber Security: strumenti tecnici ed organizzativi per la sicurezza. dei dati. Ing.

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Le iniziative Consip a supporto

Corporate Presentation Enway Corporate Presentation

Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant

CyberSecurity Dashboard. Dal mito alla realtà

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

LE BEST PRACTICE DI CLOUD SECURITY E L'INNOVAZIONE (CASB) DEL MODELLO CLOUD ACCESS SECURITY BROKERS

Rischi dell informatica e scelte di trasferimento

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Come scegliere il giusto QSA per la propria azienda

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

General Data Protection Regulation (GDPR) Andrea Agosti Mariangela Fierro

15 Aprile 2016, Trento

CERTIFICAZIONE - GDPR ISDP 10003:2015. QBP Q-Aid Business Partners

INTEGRATED THINKING E GOVERNANCE NEI BOARD

Value Proposition. Services Portfolio

PROFILO DI GRUPPO 2015

Transcript:

Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Luca Bechelli Practice Leader Information & Cyber Security Advisory Team @ Membro del Comitato Direttivo e del Comitato Tecnico Scientifico Coordinatore GdL «La valutazione degli impatti del GDPR nelle clausole contrattuali dei fornitori» presso l Osservatorio «Privacy & Security» del Politecnico di Milano Direttore Didattico Academy Experis per Master in Cybersecurity Community Clusit - Oracle4Security

Insurance studies suggest cyber risks are amongst the top concerns of large companies Source: Allianz Risk Barometer 2019 report

Il mercato dell Information Security 976 mln 1090 mln +9 % 1190 mln +12 % 2016 2017 2018 Findings of research by the Observatory of Politecnico University of Milan Sample: 667 Italian organisations

Compliance e Cyber Risk Due approcci differenti 1. GDPR compliance Proteggere i diritti e le libertà degli interessati 2. Information security Tutela del business

1. GDPR Compliance: privacy frameworks Risk assessment c) implements appropriate technical and organisational measures to ensure a level of security appropriate to the risk pursuant to art. 32 ANSI/ISA 624 «Handbook on Security of Personal Data Processing 43 ISO/IEC 29100:2017 ISO/IEC 29101:2013 ISO/IEC 29134:2017 ISO/IEC 29151:2017 ISO/IEC 29190:2015 ISO/IEC 29191:2012 Practice UNI/PdR 43:2018 «Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Gestione e monitoraggio dei dati personali in ambito ICT»

2. Information security: che framework scegliere? ISO 20000-1:2011 (Delivery of IT service) ISO 22301:2012 (Business Continuity) ISO:IEC 27000 series (Information Security Management) NIST Cyber Security Framework ANSI/ISA 62443 (Security for industrial automation and control systems) PCI-DSS 3.2 (Electronic payments) EBA / Bank of Italy Circulars Technical Assessment (e.g. Critical Security Controls, OWASP Testing Guide, NIST 800-53A, etc.) Customised models based on the Client s business Other applicable standards (e.g. Cobit, CSA, HIPAA, etc.)

3. Un modello integrato Data Protection Framework (e.g. ENISA) Information security framework (e.g. ISO 27001) Integrated Security & Compliance

3.A Definire la libreria delle minacce e classificarle (senza i controlli) Data Protection Information Security Global Vision C I A C I A C I A Threat 1 Threat 2 Threat 3

3.B Definire i controlli C1 Kind Source R I D ORG GDPR art. 32 ISO 27002 A.8.3.3 NIST AC-2 CSA IAM-04 X Scegliere uno o più framework di riferimento Scegliere i controlli necessary Creare il proprio control-set C2 TECH X X C3 TECH X

3.C Calcolare il rischio residuo grazie ai controlli Data Protection Informatio n Security Global Vision Data Protection Informatio n Security Global Vision C I A C I A C I A C I A C I A C I A T 1 T 2 T 3 Is it satisfying?

Risk appetite e scenari what-if Definire il risk appetite u accettabile significa essere pronti ad accettare quel rischio, dopo aver valutato pros and cons E se il rischio residuo non è in linea con il risk appetite? u Modificare l implementazione dei controlli, lavorando per ipotesi, fino a che il rischio non è trattato correttamente u Creare scenario differenti fino a trovare il corretto bilanciamento pro-cons Come essere più precisi? u Provare a categorizzare non per fasce qualitative (High, medium, low) ma quantitative (si, euro) Implementare il remediation plan, avendo ottenuto la libreria di controlli adatti (probabilmente per quello scenario), o chiedere al fornitore di farlo

Relazioni con i fornitori: 3 possibili scenari Provider has high bargaining power Scenario 1: e.g. LE vs Cloud LE makes proposal to be discussed with provider Provider has low bargaining power LE performs a risk assessment and selects providers that meet its requirements based on their DPA Scenario 2: e.g. LE vs LE LE sets contractual clauses Scenario 3: e.g. LE vs PMI LE has low bargaining power LE has high bargaining power

Data Governance per i diritti degli interessati Soddisfare le richieste di esercizio dei diritti degli interessati rischia di essere una sfida nelle organizzazioni complesse u u Diritto di cancellazione, limitazione, opposizione, portabilità Gestione della retention Avere politiche di asset management, CMDB, data catalog, registro dei trattamenti etc etc permette di sapere quanti e quali dati sono conservati dove ed a che scopo Le relazioni di dipendenza tra i dati sono una informazione fondamentale da considerare in relazione alle finalità del trattamento ed alla coerenza dei trattamenti La relazione con la politica di classificazione delle informazioni può essere molto fortre e creare una ulteriore sinergia tra security e compliance

Conclusioni La soddisfazione delle necessità di compliance è parte della strategia di information security aziendali Non sempre gli obiettivi di compliance e tutela aziendale coincidono ma possono essere armonizzati Un approccio integrato per obiettivi, organizzazione e competenze garantisce l eliminazione delle tipiche inefficienze dell approccio per silos

GRAZIE! Luca Bechelli Comitato Scientifico Clusit luca@bechelli.net www.bechelli.net https://twitter.com/luca_bechelli https://www.facebook.com/bechelli.luca http://www.linkedin.com/in/lucabechelli

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back