16 novembre E-privacy. Big Data e Cyber Risk. Giuseppe Vaciago

Documenti analoghi

15 Ottobre Cyber Risk: Internal investigation e digital forensics nel rispetto della normativa in vigore. Giuseppe Vaciago

La Criminalità Informatica e i Rischi per l'economia e le Imprese a Livello Italiano ed Europeo. Flavia Zappa

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Le sfide del Mobile computing

PERCORSO FORMATIVO DIGITAL & LAW MILANO, MAGGIO; GIUGNO 2014 ABI, VIA OLONA, 2. Agenda delle giornate.

Evoluzione della sicurezza informatica Approntamento misure di sicurezza

Dott. Alessandro Rodolfi. Università degli Studi di Milano

Addendum Italiano Executive summary

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

REATI IN RETE si possono commettere senza saperlo?

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Mobile Security: un approccio efficace per la sicurezza delle transazioni

Cyber security: tecnologie, innovazione e infrastrutture. I rischi attuali per le aziende italiane

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

Cleis Security nasce:

Codice Etico. per le società del gruppo Liebherr e rispettivi collaboratori

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Informatica e Aziende

PRESENTAZIONE SINTETICA PROGETTO JOOMLA! UN SITO WEB OPEN SOURCE PER LE PUBBLICHE AMMINISTRAZIONI

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

PROGRAMMA CORSI PRIVACY 2013

Pietro Brunati.

Tutela legale delle aziende in caso di cyber crime e attacchi informatici

MODELLI DI ORGANIZZAZIONE E GESTIONE

Giugno 2013 Security Summit Roma. Andrea Zapparoli Manzoni Consiglio Direttivo Clusit

Social network: evoluzione di un modello di comunicazione ed aspetti normativi

Codice delle obbligazioni

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Politica per la Sicurezza

Andrea Zapparoli Manzoni Rapporto Clusit 2012 sulla sicurezza ICT in Italia

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

L Innovazione nella Tutela Giudiziaria

ACCREDITAMENTO AI SERVIZI PER LA FORMAZIONE

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

1- Corso di IT Strategy

LA TUTELA DELL ECONOMIA DIGITALE

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Sicurezza nelle transazioni finanziarie: moneta virtuale

Il security adviser nelle PMI

ECDL e l importanza della scelta della certificazione

Norme per l organizzazione - ISO serie 9000

La ISA nasce nel Servizi DIGITAL SOLUTION

Castenaso, 15/10/2014 CODICE ETICO

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

MOGS per le piccole e medie imprese: le novità introdotte dal D.M. 13 febbraio Dott.ssa Fabiana Maria Pepe

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda

Corso di formazione Il ruolo e l adeguatezza dei modelli organizzativi previsti D. Lgs 231/2001. Presentazione

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Audiweb pubblica i dati della mobile e total digital audience del mese di aprile 2014

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Il Management Consulting in Italia

Il futuro dei Social Network: ricadute economiche e sociali per il sistema Paese. Profili giuridici

Sicurezza informatica in azienda: solo un problema di costi?

D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011

Audit dei sistemi di posta elettronica

Daniela Mercuri Associazione Informatici Professionisti

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Transcript:

16 novembre E-privacy Big Data e Cyber Risk. Giuseppe Vaciago

Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).

Alcuni dati: un analisi degli attacchi Il rapporto Clusit 2013 identifica un rapido cambiamento del trend: iniziano ad essere colpiti tutti i settori industriali e non solo più il settore governativo o quello dell industria multimediale

Alcuni dati: un analisi degli attacchi Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli attivisti. 1 attacco su 2 è non è per finalità dimostrative.

Tipologie di attacchi Attività fraudolente poste in essere da insider e outsider Attività di phishing Furto di dati confidenziali, furto di dati e spionaggio industriale Accessi non autorizzati da parte dei lavoratori Accessi non autorizzati da parte di esterni (hacking) Violazioni contrattuali Diffamazione e molestie sessuali Acquisizione e commercio di materiale pornografico e pedopornografico Furto di codici di accesso e pirateria informatica Modifica non autorizzata di dati (virus, cavallo di Troia, etc.) Furto di risorse informatiche aziendali per fini personali Denial of Services Abuso dell utilizzo della posta elettronica e di internet Violazione di policy e regolamenti aziendali

Big Data Chronology 2012 L amministrazion e Obama annuncia 84 programmi di ricerca sui big data divisi in 6 dipartimenti 1983 - IBM realizza DB2 il primo database relazionale 1991 - Il protocollo HTTP e il linguaggio HTML è pubblicamente disponibile 2008 Il numero di dispositivi connessi supera la popolazione mondiale 1995 La NASA pubblica paper sul problema dei Big Data 2001 DARPA inizia il TIA (Total Information Awareness) Program 1998 Carlo Strozzi inventa il nosql e viene fondata Google

Social Media Security and Big Data

Alcuni Casi: Social Botnet Da una approfondita indagine dell FBI emerge che nel 2012 più di 11 milioni di utenti di Facebook sono rimasti affetti da un particolare malware in grado di fare un danno di circa 850 milioni di dollari.

Alcuni Casi: La banda della firma digitale Un imprenditore perde la sua azienda perché il truffatore usando la sua smart card cede a sé stesso e al suo coimputato la totalità delle quote sociali. Ciò avviene perché il truffatore ottiene la firma digitale dell imprenditore incarica uno studio commercialista che facendone richiesta a suo nome non è tenuto a portare con sé l imprenditore al momento della consegna.

Behavioral security

BYOD e Consumerization Perdità del controllo dei device aziendali + Aumento del rischio di introduzione di malware = Aumento del rischio di perdita di dati aziendali

Cyber security e Human Element La sicurezza di un sistema è garantita da: Protocolli Tecnologia Elemento umano

Alcuni Casi: Una esemplificazione

Sicurezza informatica Detta in altro modo: la sicurezza non è un prodotto ma un processo. Inutile spendere milioni di euro di budget nell IT Security se la vulnerabilità si chiama UTONTO.

Le attività di controllo Separazione dei ruoli e escalation Procedure e livelli autorizzativi Tracciabilità degli accessi e della vulnerabilità Raccolta di segnalazioni di fattispecie a rischio

Sistema di Gestione della Digital Forensics È necessario un sistema di gestione con un approccio di tipo preventivo rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti: Formalizzazione delle procedure in caso di incidenti IT Monitoraggio e analisi dell evoluzione normativa Progettazione e erogazione di iniziative di training Pianificazione periodica di attività di assessment

Privacy reato 231 Occasione persa Il decreto femminicidio non ha ricompreso tra i reati presupposto per la responsabilità dell impresa il trattamento illecito di dati personali. Inoltre sarebbe comunque mancato l art. 169 del Codice Privacy che prevede una sanzione alla persona fisica che viola le misure di sicurezza di un sistema informatico.

La normative utili in tema di sicurezza informatica Linee Guida di categoria Sistema di gestione della sicurezza delle informazioni ISO/IEC 27001, 27037, 27041, 27042 e 27043 Compliance program (D.lgs. 231/01) Strumenti legali Codice Privacy e Provvedimenti Garante Privacy

Grazie per l attenzione Avv. Giuseppe Vaciago giuseppe.vaciago@replegal.it http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago