E LE MISURE MINIME DI AGID? · cloud (con Amazon, Microsoft, Lepida, Google, ovvero con una...
Transcript of E LE MISURE MINIME DI AGID? · cloud (con Amazon, Microsoft, Lepida, Google, ovvero con una...
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
E LE MISURE MINIME DI AGID?
Citiamo: 13.2.1 “Utilizzare sistemi di cifratura per i dispositivi portatili e i sistemi che contengono informazioni rilevanti.”
51
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
CANCELLAZIONE SICURA DEI DATI
La cancellazione dei dati in modo sicuro è prevista dall’art. 17 del GDPR. 3CiME suggerisce di dotarsi di prodotti o di acquistare servizi per la soluzione definitiva del problema
Non basterà più distruggere l’hard disk
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
CANCELLAZIONE SICURA DEI DATI
Un certificato valido 27001, opponibile ai terzi
Un modo concreto di essere ”Green”
Charity: perché non donare i nostri vecchi computer a scuole, associazioni, enti no-profit?
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
DUE PROPOSTE
Cancellazione dei dati da hard disk e nastri smontati
Cancellazione dei dati da computer, server, storage che vogliamo donare
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
CANCELLAZIONE DATI DA HARD DISK
SMONTATI
In partnership con Adimatica lo abbiamo fatto per:!!"#"$%&'(#)*"+,
!-./&)
!(.0)1)"'2)'-%"%.
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
CANCELLAZIONE SICURA DEI DATI: DI
COSA?
Personal Computer: Bc acronymous PC
Server: Bc acronymous Server
San Storage: Bc acronymous LUN
e… Cellulari e Smartphone: Bc acronymousMobile
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
DISASTER RECOVERY
Il DR non è solo un obbligo: è necessario per il buon senso dell’attività imprenditoriale o associativa
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
SPIEGHIAMO IL DISASTER RECOVERY
Bisogna copiare i dati “da un’altra parte”
Bisogna avere una infrastruttura per la ripartenza
Alcuni esempi
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
DR DEGLI AMBIENTI VIRTUALI: FACCIO UN
ESEMPIO DI UN PRODOTTO DEDICATO
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
BUSINESS CONTINUITY
La continuità operativa è un sostanziale risparmio di costi: le macchine si fermano, si rompono, ma le organizzazioni devono poter lavorare con valori del 99,999%
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
BUSINESS CONTINUITY
La continuità operativa è un modo per evitare la perdita dei dati: anche questo può diventare un data breach
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
RICORDIAMOCI CHE LA BUSINESS
CONTINUITY
È un progetto end-to-end, ovvero senza soluzione di continuità
Se facciamo le cose per bene non dobbiamo avere buchi o, come si dice, single point of failure
Quindi…
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
78
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
ARCHIVIAZIONE DATI DAL CLOUD
Conformemente alle linee guida del Garante italiano e della Commissione UE, garantisce a chi va in cloud (con Amazon, Microsoft, Lepida, Google, ovvero con una società che gestisce datacenter) di avere una copia dei dati “nelle mani” del titolare, con varie finallità tra cui l’exit strategy.
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
80
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
81
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
82
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
COSA FARE DI “CALDAMENTE
CONSIGLIATO”
se possiamo ipotizzare qualcosa
secondo il principio di
accountability
83
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
CLOUD
Predispone e/o verifica la contrattualistica dal punto di vista “privacy” e GDPR
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
SECURITY MANAGEMENT
Sovrintende la sicurezza a livello perimetrale, attraverso la completa gestione del firewall e delle sue features
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
IL TEMA DELLA SICUREZZA
Sappiamo che gli attacchi possono essere!By opportunity
!Mirati
Oggi ormai sono tutti mirati
L’unica cosa certa è che prima o poi saremo attaccati: di sicuro lo saremo. L’unica incertezza è il quando
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
IL TEMA DELLA SICUREZZA
In questo contesto l’acquisto del firewall è a nostro giudizio marginale
Quello di cui bisogna pensare di dotarsi è l’acquisto di un servizio di gestione della sicurezza
Servizio che può essere interno o esterno
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
C’È ANCORA CHI DUBITA CHE SIA OPPORTUNO CONFIGURARE LE VPN
Se siamo in rete MPLS
Se siamo in rete SPC
Se siamo in rete Lepida
E’ come dare le chiavi di casa al gestore! Di lui ci si può fidare, ma di tutti il suo personale e di tutti i suoi fornitori?
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
BACKUP E BACKUP GESTITO
Il backup aziendale va semplificato e magari gestito in outsourcing
Qual è la politica di back-up?
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
E LE MISURE MINIME DI AGID?
Citiamo: 10.1.3 “Effettuare backup multipli con strumenti diversi per contrastare possibili malfunzionamenti nella fase di restore.”
Citiamo: 10.2.1 “Verificare periodicamente l’utilizzabilita A delle copie mediante ripristino di prova”
Citiamo: 10.3.1 “Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante ade- guata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazionedel backup anche nel cloud.”
92
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
AUTENTICAZIONE FEDERATA
Può federare i sistemi di autenticazione aziendale con quelli esterni, siano essi Office 365-Azure che Amazon
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
UNIONE ROMAGNA FAENTINA
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
COSA FARE DI “IN VIA 0PZIONALE”se possiamo ipotizzare qualcosa
secondo il principio di
accountability
95
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
SECURITY MONITORING
Collega la tua rete ad un NOC (magari al nostro) perché un esperto possa aiutarti nel monitorare le minacce
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
L’ITER DI LAVORO CHE SUGGERIAMO
97
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
DA DOVE PARTIRE?
Assessment
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
ASSESSMENT: OVVERO STATO DELL’ARTE GIURIDICO FORMALE
Scopo
Lo scopo di questa fase di lavoro è di duplice natura: da un lato mappare i flussi, i soggetti, le categorie di dati coinvolti nel trattamento di dati personali presenti; dall’altro lato ottenere un parametro valido e completo per impostare adeguatamente il lavoro della fase successiva di messa a norma.
99
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
ASSESSMENT: OVVERO STATO DELL’ARTE TECNOLOGICO
Scopo
Lo scopo tecnico di questa fase è quello di mappare le evoluzioni tecnologiche necessarie al raggiungimento degli obiettivi di compliancy fissati. Partendo quindi dalla analisi effettuata in assessment, sui vari “fronti” aperti dalla normativa europea, si individueranno le evoluzioni di prodotto o di processo necessarie per la messa a norma.
L’attività parte da un ethical hacking, proseguendo con un confronto fra le macro esigenze tecnologiche e le soluzioni oggi adottate dai sistemi informativi aziendali, verificandone con il cliente la rispondenza e l’efficacia rispetto al dettato normativo ed alla sua interpretazione autentica
100
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
ASSESSMENT TECNOLOGICO: QUALI I PUNTI DELL’ANALISI
Ethical Hacking
Protezione contro i ransomware
Business Continuity
Backup, sue policy e gestioni
Disaster Recovery
Necessità di Encryption dei dati
Cancellazione definitiva dei dati
Archiviazione dei dati eventualmente presenti nel cloud secondo le indicazioni del Garante Privacy
Sistemi di autenticazione e sue eventuali federazioni
Sicurezza gestita
101
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
GAP ANALYSIS
Sui punti analizzati in assessment bisognerà esaminare congiuntamente l’efficacia delle soluzioni adottate per
! Raggiungere gli obiettivi prefissi
! Essere ragionevoli in merito al principio di accountability
! Se non conformi, individuare soluzioni sostenibili economicamente e sensate dal punto di vista tecnologico
Vediamoli punto per punto
1. GAP ANALISYS GIURIDICO FORMALE
2. GAP ANALISYS TECNOLOGICA
102
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
REMEDIATION
Si tratta di mettere in atto tutte le azioni necessarie per raggiungere gli obiettivi che, secondo il principio di accountability, eventualmente in accordo con il DPO quando sarà presente, vi siete prefissi.
Bisogna predisporre degli investimenti! Sulla parte consulenziale/legale
! Sulla parte tecnologica
Non si può aspettare il 25 maggio 2018: da allora rischieremo già le sanzioni
Formazione del personale: https://www.formazionepa.online
Ricordo a tutti che il Garante paga gli stipendi ai propri dirigenti e dipendenti con le sanzioni che commina…
103
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
PER FINIRE
Non dimenticate di scaricare il Vademecum sul GDPR, registrandoVi al sito:
http://www.3cime.com/Servizi/GDPR
104
!"#$%&'()*+*,-./*0!&12*345(6"7"'$*8%7*9 3:))&*;*<&%&))&*%&=4%>?)&@@
E ORA AL LAVORO !"#$%&&%'()**+,"-./"(%'/+(0
1 222'./"(%'/+(