Post on 16-Apr-2017
Come pianificare gli investimenti tecnologici.
Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed
il conseguente investimento in tecnologia,
è un’opportunità necessità
Risponde ad una esigenza non più procrastinabile: quella di proteggere le
informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta
disponibilità (virtualizzazione, mobile, cloud).
Da dove si inizia?
Hardware e Software installati
Dove risiedono i dati?
Come funzionano autorizzazioni ed autenticazioni
Come gestisco la posta elettronica
E’ utilizzato il mobile? Ed è autorizzato?
Che tipo controlli o alerts sono attivati
Come stanno funzionando le misure di Sicurezza?
Come mantengo aggiornato il tutto?
ANALISI
In concreto:
Gli investimenti tecnologici servono:
Per gestire un rischio
Per aumentare la disponibilità
dell’informazione
L’analisi è utile per programmare gli investimenti tecnologici
Come gestire al meglio le risorse informatiche
aziendali, garantirne il massimo utilizzo ed
un'adeguata protezione.
DISPONIBILITÀ vs PROTEZIONE
Gestire in maniera diversa dati diversi
Attivando i giusti alerts e controlli…
Conoscenze dell’azienda, della normativa e della tecnologia.
Il business si sviluppa con la DISPONIBILITA’ DEL DATO
si difende con la PROTEZIONE.
Da obbligo ad opportunità
Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle
responsabilità (ACCOUNTABILITY)
Conoscenza/ analisi
Investimento tecnologico MIRATO
Crescita business
Conformità
Responsabilità globale del Titolare, denominata «Accountability»
Le nuove disposizioni dettano l’obbligo di Responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l’adozione di politiche interne e meccanismi per garantirne tale rispetto»
Da forma a sostanza attraverso l’attuazione del principio della protezione dei dati «by design»
Valutazione di impatto sulla protezione dei dati
Accountability Principio di Trasparenza
L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori)
Art. 4. Impianti audiovisivi.
1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanzadell'attività dei lavoratori.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative eproduttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo adistanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con lerappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. Indifetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, oveoccorra, le modalità per l'uso di tali impianti.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondocomma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con lacommissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore dellapresente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degliimpianti suddetti.
4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, ildatore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissioneinterna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giornidalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.
RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY
«ART. 4. Impianti audiovisivi e altri strumenti di controllo.
Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.
In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196».
Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende.
Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività
ed efficienza, che deve però essere associato ad una policy aziendale precisa e
condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a
distanza del lavoratore, ma che possa dare più tutela all’azienda.
Nuovo Art. 4 in sintesi…
Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.
Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che
riguardano la Normativa ed
i suoi successivi provvedimenti.
Alcuni esempi:
Disaster Recovery Plan Mobile Posta elettronica Cloud DLP
Best practices
Backup o Disaster Recovery
Disaster Recovery Plan
Si intende l’insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati e infrastrutture necessarie a seguito di emergenze che ne intacchino la regolare attività.
RTO: Recovery Time Objective RPO: Recovery Point Objective
Best practices Disaster Recovery Plan
Passaggi essenziali: Dove sono i dati Verifica del backup Simulazione in caso di disastro
Quale disastro/incidente?Non solo eventi catastrofici ma anche perdita volontaria o accidentale, errori umani…
Per ogni incidente si registra una reazione
Nota Bene:Il DRP è una prerogativa obbligatoria e sarà ancora più importante nel Nuovo Regolamento Europeo – (concetto Data Breach)
Da OBBLIGO a NECESSITA’
Best practices Data Loss Prevention
Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e
prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.
Antivirus?
Anti-malware?Non sono più sufficienti
Controlli ed Alerts
Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.
Best practices Posta elettronica
Tutela del lavoratore e tutela dell’azienda:Dalla Normativa:Confidenzialità: Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata.In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza
Policy:
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in
modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a
disposizione ritenute corrette e se, in che misura e con quali modalità vengano
effettuati controlli.
Best practices Posta elettronica
Le aziende oltre a stabilire Policy di comportamento devono poi cambiare
approccio tecnologico differenziando
Backup da Archiviazione.
Quanti dipendenti hanno la posta
elettronica aziendale configurata sul
loro smartphone personale?
Siete sicuri di saperlo precisamente?
Ne AVETE LA CERTEZZA?
Best practices Mobile
Quali informazioni transitano dal Mobile?
Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)
Best practices Mobile
(Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%)
1. Eterogeneità delle caratteristiche tecnologiche2. Vulnerabilità tecniche3. Comportamenti non idonei e non consapevolezza4. BYOD – promiscuità dei dati personali e aziendali5. Difficoltà di controllo su utilizzo e raccolta dati(fotocamera)6. Elevata probabilità di furto o perdita7. Mancanza di preliminare analisi dei rischi8. Mancanza di procedure di incident handling9. Non analisi dei trattamenti effettuati10. Non applicazione delle misure minime di sicurezza
Best practices Cloud
Quadro normativo
Il cloud computing ha diverse implicazioni sotto il profilo giuridico.
Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico.
Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate.
In questo complesso quadro, la valutazione deve tenere conto:
Codice in materia di protezione dei dati personali
Linee guida del Garante e successivi provvedimenti
Regolamento Europeo
nuova ISO/IEC 27018:2014
Best practices Cloud
Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato «Proteggere i dati per non cadere dalle nuvole»
EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL
FORNITORE
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ
DEI DATI
ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI
NECESSITÀ
SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA
NON PERDERE DI VISTA I DATI
INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I
DATI
ATTENZIONE ALLE CLAUSOLE CONTRATTUALI
VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI
ESIGERE ADEGUATE MISURE DI SICUREZZA
FORMARE ADEGUATAMENTE IL PERSONALE
Quadro normativo – Linee guida del Garante
Best practices Cloud
In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da
parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento;
fornitore e cliente sono entrambi titolari.
Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di
informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla
allora di due distinte figure con compiti precisi differenti.
E il fornitore di servizio cloud … qual è il suo ruolo?
Importante:
In caso di violazioni commesse dal provider anche il
titolare del trattamento dovrà rispondere di un
eventuale illecito.
Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità
imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e
possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’
compito del titolare valutare coloro che offrano maggiori garanzie circa il
rispetto della normativa sulla protezione dei dati personali.
Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.