Gentili Associati, Iniziativa : "Sessione di Studio" a Torino Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che vedrà l'intervento dei seguenti relatori Francesco Bergadano (Dipartimento di Informatica, Università degli Studi di Torino) Fabio Cogno (Certimeter s.r.l.) Luigi Neirotti (Ernst&Young Studio Legale e Tributario) Stefano Tagliabue (Telecom Italia) Defacement: un approccio per l intercettazione Il nuovo Regolamento Privacy (GDPR): semplificazioni, nuovi obblighi e maggiori sanzioni Trattamenti mediante sistemi automatizzati : la profilazione L'incontro avrà luogo a: come da agenda allegata. Torino, venerdì 25 novembre 2016 Presso Collegio Universitario Renato Einaudi Sezione Crocetta Corso Lione 24-10141 Torino Proseguendo nelle azioni finalizzate a migliorare i servizi offerti agli associati, utilizzeremo la nuova modalità di iscrizione alle Sessioni di Studio gestita attraverso la piattaforma web accessibile al seguente indirizzo: http://videosessioni.aiea.jed.st/ La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano as sociarsi ad AIEA (vedi scheda d iscrizione). Per aderire alla Sessione di Studio Vi chiediamo perciò di accedere alla piattaforma e confermare la Vostra partecipazione, entro e non oltre il 24 novembre p.v. Ricordiamo che la partecipazione all evento corrisponde sino a 4 ore di credito nell ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo! Il Presidente (S. Niccolini) Milano, novembre 2016
Abstract delle relazioni Francesco Bergadano (Dipartimento di Informatica, Università degli Studi di Torino) Fabio Cogno (Certimeter s.r.l.) Defacement: un approccio per l intercettazione La presentazione propone un nuovo approccio di apprendimento automatizzato e lo applica alla rilevazione risk sensitive ed adattativa del defacement: Il defacement di un sito Web dinamico è definito come una modifica non voluta dei contenuti, eventualmente derivante da una violazione nella sicurezza. In questo modo il problema è mal definito, perché introduce un lemento di soggettività nella valutazione di quali modifiche potrebbero essere considerate accetttabili. L approccio proposto individua quali modifiche sono accettabili basandosi sulle differenze rispetto ai contenuti precedenti. Di conseguenza si può ipotizzare una rilevazione automatica del defacement a partire da criteri generali e da indicatori acquisiti in modo automatico. Luigi Neirotti Il nuovo Regolamento Privacy (GDPR): semplificazioni, nuovi obblighi e maggiori sanzioni Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) è stato adottato il 27 aprile 2016. Verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Obiettivo del GDPR è di introdurre un alcune semplificazioni, ottenere un quadro normativo uniforme nei Paesi dell Unione nonché rafforzare la protezione degli individui in materia di protezione dei dati personali, anche inasprendo le sanzioni, a fronte dell attuale evoluzione (forse di dovrebbe parlare di esplosione ) dei servizi e degli strumenti messi a disposizione dalla cd. società dell informazione, sconosciuti quando sono state approvate le norme attualmente in vigore. Il GDPR introduce a carico dei titolari del trattamento il principio della accountability, richiede di documentare adeguatamente tutti i trattamenti dei dati, previa adeguata valutazione preliminare (Privacy Impact Assessment e Risk Assessment). Richiede inoltre di realizzare sistemi che prevedano la valutazione degli impatti privacy in sede di progettazione (Privacy by Design e Privacy by Default). Infine introduce la nuova figura del Data Privacy Officer (DPO). A fronte di tali importanti novità i titolari del trattamento, specialmente le imprese e le pubbliche amministrazioni, sono chiamate ad interventi significativi per assicurare la compliance privacy, che devono essere programmati per tempo. Durante l intervento saranno presentate le novità del GDPR con l obiettivo di fornire un orientamento sugli interventi che si renderanno necessari. Stefano Tagliabue (Telecom Italia) Trattamenti mediante sistemi automatizzati : la profilazione L intervento amplia quanto già presentato nel mese di aprile anche in relazione alla gestione dei consensi e si concentra sui diversi aspetti della profilazione dei clienti dal punto di vista privacy, inquadrando la profilazione stessa nel contesto dei trattamenti mediante strumenti automatizzati.
Relatori Francesco Bergadano Francesco Bergadano, Full professor at Turin University since 1995, has worked with technical, research and development, sales and management professionals of different nationalities, in different contexts. His relevant experiences include: Management of the Security Research Group of the Dept. Of Computer Science (Univ. Turin) 1995-present: organization of the activities of a group of seven researchers and a variable number of short term collaborators and Ph.D. Students: definition of objectives, lines of research, projects, grants, expenses and investments; Director of several Master s Programs (University of Turin: Web Technology & Security, Cloud Computing, PLM) from 2001 till 2016; IT consultant for several public and private clients, including Intesa Sanpaolo, Reale Mutua Assicurazioni, Regione Autonoma Valle d Aosta, Università Cattolica del Sacro Cuore, ENI, Google Inc. Founder of Certimeter srl (2003), the first spin-off company of the University of Turin, now an IT group with 90 employees and an annual turnover of 4 million Euros. President of the Computer Science Degree Board 95-98 and 09-12: teaching organization for about 50 professors; Member of the Evaluation Commission for selecting teachers, researchers and technical staff in Italy, France and the USA Fabio Cogno IT Security Consultant, ha collaborato nella realizzazione di processi, procedure e metodologie per la gestione dei rischi IT per conto di alcune compagnie del settore bancario in particolare sulla gestione delle esternalizzazioni di sistemi/servizi in cloud. Ha inoltre partecipato alla redazione di piani di business continuity, disaster recovery e contingency in relazione all aggiornamento della circolare n.263 di Banca d Italia per alcune compagnie del settore bancario e alla redazione di linee guida per la messa in sicurezza di alcuni servizi di rete per un importante compagnia di telecomunicazioni. Inoltre ha maturato in particolare esperienza sulle attività di analisi e gestione dei rischi informatici in relazione all aggiornamento della circolare n. 285 di Banca d Italia. Sia nel presente incarico sia in quello precedente, ha svolto attività di Vulnerability Assessment e Penetration Test per conto di alcune importanti compagnie dei settori delle telecomunicazioni, dei servizi bancari e assicurativi.automatica del defacement a partire da criteri generali e da indicatori acquisiti in modo automatico.
Luigi Neirotti Luigi Neirotti è avvocato d'affari, esperto in diritto dell'informatica, privacy e protezionedei dati personali, Partner di Ernst &Young. Ha lavorato come direttore legale presso una importante società italiana leader nei servizi finanziari e nei sistemi di pagamento; come socio di uno studio legale internazionale, concentrando la sua attività nel diritto industriale e dell'informatica prima di entrare a far parte di Ernst & Young nel luglio 2002. Ha prestato la sua assistenza professionale a grandi e medie imprese italiane ed internazionali su varie materie che comprendono il diritto dell'informatica e di internet, la protezione dei dati personali il diritto industriale e delle tecnologie; ha anche assistito clienti nazionali ed internazionali in operazioni straordinarie di fusione e acquisizione, creazione di jointventure. Autore di scritti ed articoli su contratti informatici, firme elettroniche, protezione dei dati personali; relatore abituale in seminari, in Italia e all estero. E stato docente presso il Master in diritto dell informatica presso la Facoltà di Giurisprudenza dell Università di Roma La Sapienza. Stefano Tagliabue Attualmente fa parte della funzione Privacy di Telecom Italia. In precedenza, ha ricoperto vari incarichi nel Gruppo TI, tra cui responsabile delle misure per la sicurezza dei dati personali e senior auditor. Stefano è in possesso di certificazioni nel campo dell auditing (CISA), della information security (CISSP) e della privacy (CIPP/E). E membro del Electronic Communications Reference Group di ENISA e dei gruppi di lavoro promossi dalla Commissione Europea per la redazione del codice di condotta e delle linee guida sugli SLA per servizi cloud. Inoltre, è co-presidente del KnowledgeNet di Milano della International Association of Privacy Professionals.
PROGRAMMA 8.30 Registrazione dei partecipanti presso la sede del Collegio Universitario Einaudi in corso Lione 24 9.00 Apertura dei lavori e saluto: Daniela Cellino 9.15 Francesco Bergadano (Dipartimento di Informatica, Università degli Studi di Torino) Fabio Cogno (Certimeter s.r.l.) Defacement: un approccio per l intercettazione 10.00 Luigi Neirotti (Ernst&Young Studio Legale e Tributario) Il nuovo Regolamento Privacy (GDPR): semplificazioni, nuovi obblighi e maggiori sanzioni 10.45 Coffee Break 11.15 Stefano Tagliabue (Telecom Italia) Trattamenti mediante sistemi automatizzati : la profilazione 12.00 Dibattito con i relatori 13.00 Termine dei lavori
Mappa Parcheggio strisce bianche disponibile nelle vie adiacenti (via Don Prinotti, via Braccini)
Come arrivarci (1) Come arrivarci (2)
Come arrivarci (3) Dalla stazione di Torino Porta Susa, uscita lato Corso Inghilterra, circa 15 minuti a piedi.