La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Documenti analoghi
IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Cybersecurity, come difendersi dal furto dati

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

Valutazione d impatto e gestione integrata dei rischi

Incontri di formazione

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

La Security in relazione alla normativa Data Protection

ITIL e PMBOK Service management and project management a confronto

ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Il Nuovo Regolamento di Data Protection

Cybersecurity per la PA: approccio multicompliance Sogei

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Convegno Annuale AISIS

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Catalogo corsi di formazione

SERVICE MANAGEMENT E ITIL

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Value Proposition. Services Portfolio

SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM


Milano, 13 ottobre 2016

MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT

BIG DATA E CYBER SECURITY TRA PRIVACY E TUTELA DEL CONSUMATORE

Iniziativa : "Sessione di Studio" a Torino

Convegno Annuale AISIS

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

LA SICUREZZA NEI SISTEMI DI CONSERVAZIONE DIGITALE

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Valutazione indipendente della sicurezza nei sistemi TÜV SÜD

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

MEMO. Regolamento UE 2016/679 Privacy

Trattamento dei dati vs privacy GDPR EU Personal Data Protection Act 2018

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Operations Management Team

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

Application Security Governance

Il Regolamento Europeo Data Protection: opportunità di una adozione proattiva. Incontro Club TI del 24 settembre 2012 Claudio Copelli

Security & Compliance Governance

PASSIONE PER L IT PROLAN. network solutions

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo GENOVA Phone Fax

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

Il Professionista Europeo della Privacy

LA BUSINESS UNIT SECURITY

Nuove modalità di interazione

Group Business Assurance Revisione modello Incident di sicurezza

ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security

Giugno Carnelutti Studio Legale Associato

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

BANCHE E SICUREZZA 2017

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Esperienze di analisi del rischio in proggeti di Information Security

PROTEZIONE DEI DATI: QUALE RUOLO PER LA CERTIFICAZIONE?

Collegio Universitario Renato Einaudi Sezione Crocetta Corso Lione Torino

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

<Insert Picture Here> Security Summit 2011 Milano

Sistemi informativi in ambito sanitario e protezione dei dati personali

Tanta fatica solo per un bollino ne vale davvero la pena?

Sezione 1 - Gestione e governance della protezione dei dati

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Presentazione Istituzionale V.4 - Aggiornata al 8/07/2013

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Venco Computer e Symantec: insieme per soluzioni di successo. Fabrizio Cristante Direzione Servizi Software Venco Computer S.p.A.

IT Risk Management a 360

Le soluzioni assicurative per tutelare l attività d impresa dal rischio Cyber

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Iniziativa : "Sessione di Studio" a Milano

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano Feliciano Intini

IT governance & management. program

Torino 10 maggio 2007

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

Whitebox Security BI e Sicurezza attiva per dati e applicazioni mission critical

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

I trend in atto e l evoluzione della previdenza privata. Rafforzare l eccellenza operativa delle Casse di Previdenza

Approccio alla gestione del rischio

NSR. Company Profile Business & Values

Indice. Lo scenario. GDPR: La norma. La compliance in 5 punti. Tutto quello che c è da sapere - Infografica

Transcript:

RiS is powered by Network Integration and Solutions srl a DGS Company info: ris@nispro.it La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo Ing. Alessandro Cerasoli IT Governance Practice Manager NIS - Network Integration and Solutions S.r.l. DATA PROTECTION & GDPR Misure di sicurezza informatiche ed assicurative nel trattamento dei dati personali 25 OTTOBRE 2016 a DGS Company 1

Aumento degli obblighi Data breach Notifica al Garante Privacy - Articolo 33 In caso di violazione dei dati personali, notifica della violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore Comunicazione agli Interessati - Articolo 34 In caso di rischi elevati per i diritti e le libertà fondamentali degli individui, senza ingiustificato ritardo Valutazione d'impatto sulla protezione dei dati (DPIA) Tipologie di trattamento DPO 2

Aumento degli obblighi Impegni, responsabilità, oneri Sanzioni amministrative elevate Articolo 83 Sanzioni amministrative pecuniarie fino a 20M EUR o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente Sanzioni penali Le sanzioni penali rimangono di competenza di ogni singolo Stato 3

Aumento degli obblighi Ruolo del Data Protection Officer (DPO) Articolo 39 Sensibilizzare Controllare e vigilare Fornire supporto strategico Essere punto di contatto con il Garante Considerare i rischi associati a tutte le fasi di trattamento Protection by Design Articolo 25 Principi e politiche Data Protection Impact Assessment Articolo 35 Valutazione dell impatto dei trattamenti nelle situazioni in cui si possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche 4

La novità O forse solo una conferma aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato ridurre al minimo il trattamento dei dati personali conformemente ai principi di proporzionalità e di necessità Quando un tipo di trattamento, [ ] può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, [ ]una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. la valutazione d'impatto sulla protezione dei dati [ ] indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio Necessità di definire un approccio sistematico (metodologico) orientato alla identificazione e valutazione dei rischi per poter consapevolmente adottare le contromisure sufficienti ai fini della garanzia della protezione e tutela dei dati personali comprensivi della libera circolazione di tali dati 5

Approccio metodologico GOVERNANCE Definire una Policy di Personal Data Protection Protection by design Identificare un Inventario dei Dati Personali e dei flussi che li interessano (relazioni) Includere la Data Protection nei trattamenti GESTIONE Gestire i Rischi (DPIA e analisi dei rischi) Definire programmi di formazione e sensibilizzazione Impostare le attività per ottemperare agli obiettivi ed alle iniziative di Data Protection (rispondere alla policy) Attivare procedure per supportare le parti interessate (protezione, gestione comunicazione Monitorare novità o modifiche nei Processi e nelle Procedure Gestire le eccezioni/incident (Personal Data Breach) Monitorare le modalità di trattamento dei Dati Personali 6

Le soluzioni Advisory sulla Governance dei processi di gestione dei dati sensibili (e non) Automatizzazione del processo metodologico mediante l adozione di un tool a supporto 7

RISK COMMUNICATION AND CONSULTATION RISK MONITORING AND REVIEW Risk Management Process ISO 31000 CONTEXT ESTABLISHMENT RISK ASSESSMENT RISK RISK ANALYSIS ISO31000:2009 Risk Decision Point 1 Assessment Satisfactory RISK EVALUATION YES NO RISK TREATMENT ISO/IEC 27005:2011 Risk Decision Point 2 Treatment Satisfactory END OF FIRST OR SUBSEQUENT ITERATIONS YES NO RISK ACCEPTANCE 8

Regolamenti vs Mercato PCI-DSS PCI- DSS Circ. n.285 Privacy SOX/ L.262 D.lgs. 231 ISO 27001 ISO 20000 ISO 9001 26K 28K 22301.. Finance Service Provider / ICT Automotive ISO 27002 ITIL V3 Manufacturing PAL Marittimo/ Crocieristico COSO 9

Fasi del Risk Assessment RISK EVALUATION BUSINESS PROCESSES VULNERABILITIES EVALUATION INFORMATION AND CLASSIFICATION THREATS AND VULNERABILITIES OF RESOURCES IN SUPPORT OF THE INFORMATION 10

Fasi del Risk Assessment RISK EVALUATION BUSINESS PROCESSES VULNERABILITIES EVALUATION INFORMATION AND CLASSIFICATION THREATS AND VULNERABILITIES OF RESOURCES IN SUPPORT OF THE INFORMATION 11

GDPR-RIS 12

Valutazione del Rischio PROBABILITA CRITICTA DELL ASSET IMPATTO DELLA MINACCIA RISK LIVELLO DELLA VULNERABILITA DATI PERSONALI ADVISOR PIANO DI AZIONE DPO 13

Contromisure PIANO DI AZIONE VULNERABILITY ASSESSMENT PENETRATION TEST NETWORK SECURITY DATA ENCRYPTION 14

Grazie per l attenzione Alessandro Cerasoli alessandro.cerasoli@nispro.it Network Integration and Solutions srl Via al Porto Antico, 7-16128 Genova tel. +39 010 5954946 - fax +39 010 8680159 info@nispro.it - twitter @nis_srl GENOA MILAN TURIN ROME a DGS Company 15

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back