19 Edizione Forum ICT Security · Edizione Forum ICT Security. ... Provvedimento del Garante n °...
Transcript of 19 Edizione Forum ICT Security · Edizione Forum ICT Security. ... Provvedimento del Garante n °...
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Leonardo SCALERA - Roma – 24 Ottobre 2018
19° Edizione Forum ICT Security
Di cosa parleremo …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
o Premessa ed excursus normativo (… un po’ di storia …)
o Violazione di dati personali – Definizione
o Articolo 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo
o Articolo 34 GDPR: Comunicazione di una violazione dei dati personali all’interessato
o Articolo 32 GDPR:Sicurezza del Trattamento: misure preventive e misure adeguate
o Ma allora come mai ? …Panoramica / Cause / Conseguenze / (Possibili) Soluzioni
Premessa …
2014• 7.095 billion (Total world population)• 2.484 billion (Internet Users)
2015• 7.210 billion (Total world population)• 3.010 billion (Internet Users)
2016• 7.395 billion (Total world population)• 3.419 billion (Internet Users)
2017• 7.476 billion (Total world population)• 3.773 billion (Internet Users)
2018• 7.593 billion (Total world population)• 4.021 billion (Internet Users)
+ 61,88%Incremento
Utenti internet
+ 72,20%Incremento
Social Network Users
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Premessa … (dal 2013 in poi) …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
D.Lgs. 196/03 ( Codice Privacy ) – Art. 32-bis(introdotto dall’art. 1 c. 3 D.Lgs. 69/12)
“ Adempimenti conseguenti ad una violazione di dati personali ”(esclusivo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico)
Comma 2: obbligo di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essidetenuti. Nei casi i cui dalla violazione possa derivare pregiudizio ai dati personali o allariservatezza di un contraente o altra persona, il fornitore dovrà comunicare l’avvenutaviolazione anche a tali soggetti;
Comma 3: la comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante diaver utilizzato misure che rendono i dati inintellegibili a chiunque non sia autorizzato adaccedervi e che tali misure erano state applicate ai dati oggetto della violazione;
Comma 4: ove il fornitore non vi abbia provveduto, il Garante può, considerate le presumibiliripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o adaltra persona l’avvenuta violazione;
… excursus normativo …. da dove veniamo …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento UE n° 611/2013 del 24 Giugno 2013“ Sulle misure applicabili alla notifica delle violazioni di dati personali a norma della
direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche”
La finalità del Regolamento è quella di prevedere un sistema di notifica delle violazioni di dati personaliall’autorità nazionale che comporti, in presenza di determinate condizioni, fasi ben determinate conscadenze ben definite.
Art. 2 - Comma 2: il fornitore notifica all’autorità nazionale competente la violazione di dati personalientro il termine di 24 ore a partire dal rilevamento della violazione , ove possibile;
Art. 3 – Comma 1: quando la violazione di dati personali rischia di pregiudicare i dati personali o la vitaprivata di un abbonato o di altra persona, in aggiunta alla notifica di cui all’Art. 2 ilfornitore comunica l’avvenuta violazione all’abbonato o altra persona;
Comma 2: (Valutazione del pregiudizio) natura e contenuto dei dati personali interessati(finanziari, particolari, ubicazione, connessioni a internet, cronologia dinavigazione, dati relativi alla posta elettronica, elenchi chiamate), in caso di furtoeventuali danni “collaterali” ( immagine, reputazione), circostanze (furto,distruzione, possesso da parte di soggetto non autorizzato)
… excursus normativo …. da dove veniamo …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
… excursus normativo …. da dove veniamo …
SOCIETA’ TELEFONICHE E INTERNET PROVIDER
Provvedimento del Garante n° 161 del 4 Aprile 2013
In caso di violazione di dati personali: comunicazione entrole 24 ore dalla scoperta dell’evento; entro 3 giornicomunicazione a ciascun utente coinvolto;
BIOMETRIAProvvedimento del Garante n° 513 del 12 Nov. 2014
In caso di violazione di dati personali o incidenteinformatico: comunicazione entro le 24 ore dalla scopertadell’evento;
DOSSIER SANITARIO ELETTRONICOProvvedimento del Garante n° 331 del 4 Giugno 2015
In caso di violazione di dati personali o incidenti informatici:comunicazione entro le 48 ore dalla scoperta dell’evento;
AMMINISTRAZIONI PUBBLICHE Provvedimento del Garante
n° 392 del 2 Luglio 2015
In caso di violazione di dati personali oincidenti informatici: comunicazione entrole 48 ore dalla scoperta dell’evento;
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 4 – Comma 12: VIOLAZIONE DATI PERSONALI
violazione di sicurezza che comporta accidentalmente o in modoillecito la distruzione, la perdita, la modifica, la divulgazione nonautorizzata o l’accesso ai dati personali trasmessi, conservati ocomunque trattati (CONSIDERANDO 85)
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo,provocare danni fisici, materiali o immateriali alle persone fisiche ( es. limitazione di diritti,furto/usurpazione di identità, pregiudizio alla reputazione, perdite finanziarie) […] .
Il Titolare del Trattamento, pertanto, senza giustificato ritardo e ove possibile, entro 72 ore dalmomento in cui è venuto a conoscenza dell’evento, dovrebbe provvedere alla notifica dellaviolazione dei dati all’autorità di controllo competente, salvo poter dimostrare in base alprincipio di responsabilizzazione, che è improbabile che la violazione presenti un rischio per idiritti e la libertà delle persone fisiche.
… excursus normativo …. dove siamo …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 4 – Comma 12: VIOLAZIONE DATI PERSONALI
violazione di sicurezza che comporta accidentalmente o in modoillecito la distruzione, la perdita, la modifica, la divulgazione nonautorizzata o l’accesso ai dati personali trasmessi, conservati ocomunque trattati
Art. 33 – Notifica di una violazione deidati personale all’autorità di controllo
Art. 34 – Comunicazione di unaviolazione dei dati personaliall’interessato
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo
In caso di violazione dei dati personali, il titolare del trattamento NOTIFICA LA VIOLAZIONEall’autorità di controllo competente a norma dell’art. 55 SENZA GIUSTIFICATO RITARDO e, ovepossibile, ENTRO 72 ORE dal momento in cui ne è venuto a conoscenza, a meno che siaimprobabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà dellepersone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, ècorredata dei motivi del ritardo (Comma 1).
CONSIDERANDO 87E’ opportuno verificare se siano state messe in atto lemisure tecnologiche e organizzative adeguate di protezioneper stabilire immediatamente se c’è stata violazione dei datipersonali e avvisare l’autorità di controllo.
È importante la comunicazione senza ingiustificatoritardo specie in merito a NATURA e GRAVITA’ dellaviolazione in quanto ne potrebbe scaturire un interventodell’autorità nell’ambito dei suoi compiti e poteri.
CONSIDERANDO 88Nel definire modalità dettagliate relative a formato eprocedure applicabili alla notifica delle violazioni dei dati, èopportuno tenere debitamente conto delle circostanze ditale violazione (i dati erano protetti o meno con misuretecniche adeguate atte a limitare efficacemente il rischiofurto o altre forme di abuso) […].
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo
CONTENUTO minimo della NOTIFICA
• Natura della violazione dei dati personali compresi ove possibile categorie e numero approssimativo degliinteressati nonché numero approssimativo di registrazione di dati in questione;
• Nome e dati del RPD o altro punto di contatto per informazioni;
• Probabili conseguenze della violazione;
• Misure adottate o che si propone di adottare il titolare per porre rimedio alla violazione o attenuare ipossibile effetti negativi;
• In caso di impossibilità a fornire tutti i dati richiesti che saranno forniti in fasi successive senza ritardoingiustificato;
• Il titolare documenta qualsiasi violazione dei dati, comprese circostanze , conseguenze e provvedimentiadottati per porvi rimedio.
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 34 Comunicazione di una violazione dei dati personali all’interessato
Quando la violazione dei dati personali è suscettibile di presentare un RISCHIO ELEVATO per i diritti ele libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senzagiustificato ritardo (Par. 1)
La comunicazione all’interessato di cui al Par. 1 del presente articolo descrive con un linguaggio semplice echiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cuiall’art. 33, par. 3, lett. b), c), d).
NON è RICHIESTA la comunicazione all’interessato di cui al Par. 1 se è soddisfatta UNA delle seguenticondizioni:a) Il titolare del trattamento ha messo in atto le misure tecniche e organizzative ADEGUATE di protezionee tali misure sono state applicate ai dati oggetto della violazione (in particolare quelle atte a rendere i datipersonali incomprensibili a chiunque non sia autorizzato ad accedervi - es. cifratura -).
b) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungeredi rischio elevato per i diritti e le libertà degli interessati.
c) Detta comunicazione richiederebbe sforzi spropositati ( in tal caso si ricorre a comunicazionepubblica o misura simile)
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 34 Comunicazione di una violazione dei dati personali all’interessato
CONSIDERANDO 86
Il titolare del trattamento dovrebbe comunicareall’interessato la violazione dei dati personali senzaindebito ritardo, qualora la violazione dei dati siasuscettibile di presentare rischio elevato per i diritti e lelibertà della persona fisica al fine di consentirgli diprendere le precauzioni necessarieLa comunicazione dovrebbe descrivere natura dellaviolazione e formulare raccomandazione per le personefisiche interessate volte ad attenuare i potenziali effettinegativi.Tali comunicazioni dovrebbero essere inviate appenapossibile e in stretta collaborazione con l’autorità dicontrollo e nel rispetto degli orientamenti da essa (o daaltre) impartite.
CONSIDERANDO 88
Nel definire modalità dettagliate relative a formato eprocedure applicabili alla notifica delle violazioni dei dati,è opportuno tenere debitamente conto delle circostanzedi tale violazione (i dati erano protetti o meno conmisure tecniche adeguate atte a limitareefficacemente il rischio furto o altre forme diabuso) […].
FONDAMENTALI …..
MISURE IDONEE di SICUREZZA
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
GRUPPO di LAVORO ARTICOLO 29 per la Protezione dei DatiLinee Guida sulla notifica delle violazioni dei dati personali
Ai sensi del Regolamento (UE) 2016/679(03 ottobre 2017 – emendate e adottate il 06 febbraio 2018)
VIOLAZIONE DATI PERSONALI INCIDENTE DI SICUREZZA
Gli incidenti di sicurezza NON SONO tutti violazioni di dati personali
Le violazioni di dati personali SONO tutti incidenti di sicurezza
1) VIOLAZIONI DELLA RISERVATEZZA = In caso di divulgazione dei dati personali o accesso agli stessi accidentali o non autorizzati;
2) VIOLAZIONI DELL’INTEGRITA’ = In caso di modifica non autorizzata o accidentale dei dati personali;
3) VIOLAZIONI DELLA DISPONIBILITA’ = In caso di perdita, accesso o distruzione accidentale o non autorizzati di dati personali;
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
MISURE IDONEE di SICUREZZAFONDAMENTALI …..
MISURE idonee preventive da adottare per evitare violazioni di dati Rendere i dati trattati immediatamente non disponibili per ulteriori elaborazioni da
parte dei sistemi informativi al termine delle attività svolte e nelle quali gli stessi sonocoinvolti( Provvedere alla cancellazione, trasformazione in forma anonima con tempistiche compatibili con leprocedure informatiche nei data base, nei sistemi di elaborazione utilizzati per i trattamenti, neisistemi e supporti utilizzati per la realizzazione di copie e di sicurezza anche con il ricorso a tecniche dicrittografia o di anonimizzazione);
Porre particolare attenzione ai dispositivi mobili predisponendo specifiche misure disicurezza in grado di mitigare il rischio connesso alla portabilità dell’apparato e diassicurare agli stessi livelli di sicurezza analoghi a quegli degli altri dispositiviinformatici( In considerazione che con elevata frequenza le violazioni di sicurezza riguardano dispositivi mobiliutilizzati da dipendenti/collaboratori anche al di fuori dell’azienda si tratta di una misuraNECESSARIA)
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 32 Sicurezza del trattamento
MISURE idonee preventive da adottare per evitare violazioni di dati
Procedere ad una adeguata pianificazione adottando e attuando misure tecniche edorganizzative appropriate per garantire livelli di sicurezza appropriati in riferimentoai rischi presentati dai trattamenti ( da parte del Titolare del trattamento);
Predisporre un idoneo quadro di gestione dei rischi( Vanno definiti elementi minimi e una serie di controlli tecnici e organizzativi necessari a realizzarequesto tipo di approccio; particolare attenzione va applicata ai controlli atti a rendere incomprensibili idati nonché alle procedure di gestione delle violazioni dei dati che possano garantire una gestionerapida ed efficace)
La crittografia – come ulteriore misura di sicurezza – in caso di DATA BREACH – èmisura necessaria per evitare la comunicazione ai soggetti interessati
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 32 Sicurezza del trattamento
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 32 Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contestoe delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e lelibertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in attomisure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato alrischio, […] (Comma 1)
VALUTAZIONE DEI
RISCHI
DISTRUZIONE
PERDITA
MODIFICA
DIVULGAZIONE NON AUTORIZZATA
ACCESSO (accidentale o illegale) AI DATI
DISASTER RECOVERY
&BUSINESS
CONTINUITY
TESTVALUTAZIONE
EFFICACIAMISURE
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016
Art. 32 Sicurezza del trattamento
Nel caso i trattamenti presentino un RISCHIO ELEVATO per i diritti e le libertà delle persone fisiche iltitolare del trattamento DEVE svolgere una valutazione di impatto sulla protezione dei dati perdeterminare in particolare: ORIGINI, NATURA, PARTICOLARITA’ e GRAVITA’ dei rischi.
Tecnologie disponibili / costi di attuazionetroppo elevati non consentono di attuaremisure per gestire il rischio elevato?
Presenza di RISCHIO ELEVATO e difattori collegati all’esito della valutazioned’impatto?
CONSULTAZIONE dell’AUTORITA’ di CONTROLLO
…. MA ALLORA COMA MAI …..
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
…. E TANTI … TANTI ALTRI ...
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
…. Qualche dato per farci un’idea di “cosa” parliamo …..
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: Breach level index by Gemalto
…. Qualche dato per farci un’idea di “cosa” parliamo …..
…. ma le cause di tutto questo?....
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: Breach level index by Gemalto
…. Qualche dato per farci un’idea di “cosa” parliamo …..
Le cause possono essere molteplici
INTERNE(volontarie e non)
( dipendenti infedeli, dipendenti non preparati, errori accidentali, guasti)
ESTERNE(volontarie [e non])
( attivismo, pirateria, ignoti)
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: Breach level index by Gemalto
La tempistica per rilevareun attacco ha subito unsignificativo incremento nel2017 rispetto all’annoprecedente.
Media Globale
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: M-Trend 2018 Report by FireEye
Si passa da una percentuale del 13% peruna tempistica di rilevamento di 7 giornifino anche alla necessità di un periodosuperiore ai 2000 giorni (3%) perrilevare una attacco/intrusione
Quali conseguenze? …
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: M-Trend 2018 Report by FireEye
• Perdita dati e/o di Denaro• Danni reputazionali
• Perdita di fiducia dei clienti• Attività di help desk
• Attività di indagine (interna)• Spese legali
• Costi per il ripristino del/i sistema/i
DANNI ( COSTI) DIRETTI & INDIRETTI
I risultati variano sensibilmente con riferimento alla “dimensione” del Data Breach e alSettore di riferimento e, ovviamente, alle tempistiche di rilevamento / intervento /risoluzione ….
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
….. ma di che cifre parliamo ….
Costo pro-capite per settore
Fonte: 2018 Cost a Data Breach Study by IBM
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
COSTO(REALE)
di un Data Breach“Indagini” per determinare le cause di un Data Breach
“Indagini” per determinare le probabili vittime di un Data
Breach
Organizzazione di un efficace Incident Response TEAM
Predisposizione della documentazione inerenti le
comunicazioni sul Data Breach(Interessati/Autorità di controllo)
Implementazione supporto/assistenza soggetti
“vittime”
Operazioni dirette alla scoperta e rispostaad un eventuale Data Breach
Operazioni condottedopo la scoperta di un
eventuale Data Breach
Audit e servizi di consulenza
Spese Legali (compliance, difensive…)
Programmi di ri-fidelizzazione clienti
(vittime)
Perdita/risoluzione contratti/commesse
Costi per acquisizione ri-acquisizione clienti
SANZIONI(Artt. 83 – 84)
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Art. 83 Condizioni generali per infliggere
sanzioni amministrative pecuniarie
fino a 10 000 000 EUR, o per le imprese,fino al 2 % del fatturato mondiale totaleannuo dell’esercizio precedente, se superiore.
• obblighi del titolare e responsabile del trattamento a norma artt. 8, 11, da 25 a 39, 42 e 43 [ consenso minori, trattamento che non richiede identificazione, privacy by design and by default, responsabile del trattamento, registri del trattamento, sicurezza dei dati personali, notifica di DPIA, DPO … ecc. ]
fino a 20 000 000 EUR, o per le imprese,fino al 4 % del fatturato mondiale totaleannuo dell’esercizio precedente, se superiore.
• principi base del trattamento, diritti degli interessati,inosservanza di un ordine dell’autorità di controllo,inosservanza obblighi di legge di uno Stato membro.
Comma 2: Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ognisingolo caso, […] Al momento di decidere se infliggere una sanzione amministrativa e pecuniaria e difissare l’ammontare […] si tiene conto dei seguenti elementi:
natura, gravità, durata della violazione in considerazione di natura oggetto o finalità del trattamentononché del numero degli interessati coinvolti e del livello di danno da essi subito, dolo o colpa,misure adottate per attenuare il danno, categorie di dati interessati, precedenti violazioni, grado dicooperazione con l’autorità di controllo e modalità di presa di conoscenza da parte di quest’ultima
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Costo pro-capite per nazione Fonte: 2018 Cost a Data Breach Study by IBM
E’ possibile “migliorare”??
Fattori di miglioramento e riduzione costo pro-capite
Incident Response Team efficiente $ 14.0
Uso esteso e costante crittografia $ 13.1
Formazione costante personale $ 9.3
Uso di sistemi di analisi e sicurezza $ 6.9
Sistemi Gestione Continuità Operativa $ 9.3
Protezioni assicurative $ 4.8
SI
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Fonte: IAPP-EY Annual Privacy Governance Report 2017
Costo pro-capite per nazione Fonte: 2018 Cost a Data Breach Study by IBM
E’ possibile “peggiorare”??
Fattori di RISCHIO ulteriore e aumento costo pro-capite
Coinvolgimento terze parti $ 13.4
Uso eccessivo di piattaforme mobili $ 10.0
Perdita o compromissione devices $ 6.5
Mancanze/errori procedure compliance $ 11.9
Errori nelle “notifiche” $ 4.9
Ricorso esteso (non conforme) cloud $ 11.9
SI
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Data Breachsolo una
IPOTESI(remota)
• Valutazione rischi errata
• Formazione non costante/valida
• Sistemi di sicurezza non aggiornati
• Procedure di rilevazione/reazione fallati
•Mancanza di risorse economiche, perdita clienti
Evento (comune) di vita aziendale
• Puntuale valutazione rischi
• Formazione del personale costante di livello
• Sistemi di sicurezza aggiornati e testati
• Procedure di rilevazione/reazione testati eperiodicamente aggiornati
• Budget annuale ben definito
• Feedback positivo e fidelizzazione clienti
Accadimento reale e plausibile della “ vita aziendale ”
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
ECOSISTEMA “PRIVACY & DATA PROTECTION”
AZIENDALE
Approccio proattivo dell’organizzazione verso l’eventualità Data Breach
(applicazione sistemi di pseudonimizzazione /anonimizzazione, applicazione standard su disasterrecovery e business continuity con relativi test,verifica delle procedure di rilevazione/contrasto/risposta a violazioni, aggiornamentoformazione, rivalutazione del rischio, eventualerimodulazione del budget)
REAZIONE dell’organizzazione verso all’evento Data Breach
(rilevazione violazione a seguito di monitoraggio costante dei sistemie trattamenti, attivazione delle procedure secondo tempi, modalità econ i soggetti previsti, messa in atto delle misure atte a contenere idanni e ripristinare il grado di sicurezza, valutazione rapidadell’evento ai fini della notifica (Art. 33 – 34), tenuta del registro delleviolazioni /tentate violazioni, aggiornamento valutazione del rischiopost evento)
Considerare l’adeguamento/aderenza al GDPR come un processo dinamico e in
costante evoluzione ( coinvolgimento del Data Protection OFFICE nelleattività di analisi dei trattamenti, dei dati e soggetticoinvolti, analisi dei Sistemi IT e delle misure disicurezza già in essere, coinvolgimento del personale,formazione costante, definizione soglia accettazione delrischio, definizione budget )
Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili
Grazie per l’attenzione
Dott. Leonardo SCALERALocal DPO - Ministero della GiustiziaDipartimento Amm.ne Penitenziaria
E-mail: [email protected]
https://www.linkedin.com/in/leonardo-scalera-304150126