Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere
-
Upload
uninfoit -
Category
Technology
-
view
243 -
download
2
Transcript of Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere
SICUREZZA INFORMATICAOPPORTUNITÀ E RISCHI PER GRANDI IMPRESE
E PMI MANIFATTURIERE
INCONTRI DI CONFINDUSTRIA MACCHINE
Milano, 7 luglio 2016
Agenda e relatori
2
Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera
Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit
Aspetti legali e contrattuali connessi alla sicurezza delle informazioni
Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni
Agenda e relatori
3
Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera
Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit
Aspetti legali e contrattuali connessi alla sicurezza delle informazioni
Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni
Relatore
4
Fabio GUASCONI
Direttivo di UNINFO
Presidente del CT 510 di UNINFO "Sicurezza"
Membro del CT 526 di UNINFO "APNR"
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
Sicurezza di cosa? Intendiamoci ...
5
Sicurezza delle informazioniPreservazione della riservatezza, dell’integritàe della disponibilità delle informazioni
Disponibilità
Proprietà di essere accessibile e usabile a richiesta di un’entità autorizzata
Integrità
Proprietà relativa all’accuratezza e alla completezza
Riservatezza
Proprietà delle informazioni di non essere rese disponibili o divulgate a individui, entità o processi non autorizzati
Da cosa ci difendiamo?
7
Presenza web
Siti vetrina o e-commerce Posta elettronica Accesso remoto a file e sistemi
Progettazione
Specifiche di prodotto / disegni Know-how aziendale
Amministrazione e contabilità
Accesso ai conti aziendali Dati personali dei dipendenti Budget e dati finanziari
Management
Strategie aziendali Legale rappresentanza
Produzione
Sistemi tecnologici
Commerciale
Dati dei Clienti
MalwareSabo-taggio
Attacchi web-based
DoS
Phishing
DoS
Furto identità
Ma a noi interessa davvero?
9
Phishing su Internet Banking
1) Creazione di un sito web più possibile similare a quello legittimo
2) Invio indiscriminato (se mirato si tratta di spear-phshing) di email contraffatte che portano l’utente verso il sito web contraffatto
3) Raccolta di credenziali valide degli utenti tramite sito web contraffatto
4) Riuso delle credenziali raccolte sul sito legittimo / su altri siti per transazioni illecite
http://www.sonicwall.com/phishing/
Ma a noi interessa davvero?
10
Cryptolocker
1) Apertura di allegato di email infetto o consultazione di sito web con contenuti malevoli
2) Cifratura dei contenuti del disco locale e dei dischi di rete acceduti
3) Richiesta di riscatto in Bitcoin (o altra valuta non tracciabile) per avere le chiavi di decifratura da parte del malware entro 3 o 4 giorni di tempo
Ma a noi interessa davvero?
11
Attacco per finto bonifico
1) Compromissione o registrazione di dominio di posta elettronica di un fornitore
2) Apertura di un conto ponte che non desti sospetti
3) Invio di email per richiesta di modifica del conto registrato per i pagamenti verso un cliente
4) Incasso del bonifico e spostamento di denaro su conto off-shore
Ma a noi interessa davvero?
12
D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai?
R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non subire danni come una grande azienda. Pochi danni = poco risalto sui mass media
D: Noi non abbiamo mai avuto problemi di questo tipo™, perché?
R: Due cause sono quelle più plausibili:
1) avete avuto MOLTA fortuna
2) non ve ne siete mai accorti
D: Quelle per la sicurezza informatica non sono altre spese inutili?
R: Le spese fatte senza solidi criteri o per mettere a posto i danni tendono ad essere inutili, un sensato livello di protezione è anche economicamente efficace.
Come ci difendiamo
13
Riduciamo la lunghezza delle nostre mura e consolidiamole
Dove sono le informazioni aziendali?
Chi vi deve poter accedere?
Possono essere accentrate e messe sotto controllo?
Come ci difendiamo
14
Adottiamo misure di igiene informatica su tutti i sistemi aziendali.
Parliamo di misure di:
Antimalware
Autenticazione
Aggiornamento
Backup
Cifratura
Limitazione della connettività
Limitazione dei privilegi
Come ci difendiamo
15
Esempio: gestiamo correttamente l’autenticazione ai sistemi
Come ci difendiamo
16
Informiamo e formiamo periodicamente il nostro personale:
su cosa devono fareper stare in sicurezza (v. uso delle password)
su cosa non devono fare per evitare le minacce (v. phishing)
sul perché la sicurezza delle informazioni è importante (v. giornata odierna)
Come ci difendiamo
17
I temi da toccare sono diversi e coinvolgono non solo i tecnici (o i fornitori) informatici ma tutta l’azienda, ognuno per il suo.
Per essere efficaci è necessario un APPROCCIO COMPLESSIVO alla sicurezza … e, vista la complessità dei temi, non è necessario inventarselo da capo
Agenda e relatori
18
Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera
Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit
Aspetti legali e contrattuali connessi alla sicurezza delle informazioni
Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni
Una «norma» è una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi, e che appartenga a una delle seguenti categorie:
a) «norma internazionale»: una norma adottata da un organismo di normazione internazionale;
b) «norma europea»: una norma adottata da un’organizzazione europea di normazione;
c) «norma armonizzata»: una norma europea adottata sulla base di una richiesta della Commissione ai fini dell’applicazione della legislazione dell’Unione sull’armonizzazione;
d) «norma nazionale»: una norma adottata da un organismo di normazione nazionale.
Standard? Norma tecnica?
19
Dal Regolamento UE 1025/2012:
Principi alla base delle norme
20
DEMOCRAZIA
• Tutte le parti interessate possono partecipare ai lavori di normazione
CONSENSO
• I lavori progrediscono attraverso il consenso dei partecipanti ai lavori
VOLONTARIETÀ
• Le norme sono il punto di riferimento che tutte le parti interessate adottano spontaneamente
TRASPARENZA
• L'Ente di normazione rende noti i passaggi di approvazione a tutte le parti interessate
Benefici derivanti dall'uso delle norme
21
1 Le norme sono scritte da esperti della cui competenza si può beneficiare direttamente facendovi riferimento, senza necessità di avvalersi della loro collaborazione diretta
2 Le norme, soprattutto se internazionali, sono adottate da diversi enti e mercati, formando una base comune per l'interscambio di beni e servizi con caratteristiche omogenee
3 Un incremento dell'uso delle norme permette una maturazione ed un aumento dell'efficacia produttiva di un mercato
Norme e Leggi
22
è volontaria è frutto di un processo basato
sul concetto di consenso è uno strumento di
trasferimento tecnologico è pubblicata da un Ente di
normazione
è obbligatoria è frutto di un processo basato
sul concetto di rappresentanza è uno strumento di
regolamentazione del mercato è pubblicata da un organismo
governativo in Gazzetta Ufficialeo in un atto legislativo
Regola TecnicaNorma Tecnica
Chi sviluppa le norme in Italia
23
CIG(Gas)
CTI(Termotecnico)
CUNA(Automobilistico)
UNISIDER(Metallurgico)
UNIPLAST(Materieplastiche)
UNICHIM(Chimico)
UNINFO (ICT)
UNINFO
24
“UNINFO è una libera Associazione a carattere tecnico-scientifico
e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.”
Estratto dallo Statuto UNINFO
Attività di UNINFO
25
Tra gli ambiti normati da UNINFO:
Automazione (Telepass)
Codifica video (MPEG)
Fatturazione elettronica
Formati dei documenti (ODF, OOXML, ePUB)
Profili professionali
Sicurezza Informatica
Attività di UNINFO
26
Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+)
• Sistemi di gestione per la sicurezza delle informazioni (27001, 27002)
• Linee guida per i sistemi di gestione (2700X)
• Linee guida di settore (2701X)
• Linee guida per la sicurezza (2703X-2704X)
• Certificazione della sicurezza dei prodotti (15408, 18045)
• Autenticazione e biometria (2476X)
• Protezione dei dati personali (291XX)
• Crittografia (979X, 18033)
• Modelli di maturità ICT (21827)
Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).
• Applicabile a realtà di ogni dimensione
• Quasi 20 anni di esistenza sul mercato
• Ambito definibile a piacimento
• Approccio ciclico (PDCA)
• Costituisce un framework completo
• Dice cosa fare, non come farlo
• Rivolto al miglioramento continuo
• E’ un riferimento universale e certificabile
ISO/IEC 27001
27
PDCA e ISO/IEC 27001
28
P
D
C
A
4contesto
5leadership
6pianificazione
7supporto
8attività
operative
9valutazione
prestazioni
10miglioramento
Appendice
A
Diffusione della ISO/IEC 27001 in Italia
29
Fonte: Accredia, andamento delle aziende certificate
0
50
100
150
200
250
300
350
400
450
500
gen
-06
mag
-06
set-
06
gen
-07
mag
-07
set-
07
gen
-08
mag
-08
set-
08
gen
-09
mag
-09
set-
09
gen
-10
mag
-10
set-
10
gen
-11
mag
-11
set-
11
gen
-12
mag
-12
set-
12
gen
-13
mag
-13
set-
13
gen
-14
mag
-14
set-
14
gen
-15
mag
-15
set-
15
gen
-16
475
Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000:
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
Analisi del rischio secondo ISO/IEC 27001:2013
30
Definizione del contesto
Valutazione del rischio
Trattamento del rischio
E’ possibile, ma assolutamente non obbligatorio, raggiungere una certificazione di terza parte una volta che si è adottata la norma.
La certificazione, oltre a essere utile per partecipare a gare, permette un ritorno d’immagine per gli investimenti effettuati.
Certificazione di un SGSI
32
Certificazione di un SGSI
33
Check
ActPlan
Do
1° Anno 2° Anno 3° Anno
Audit diCertificazione
Audit di Mantenimento
Check
ActPlan
DoCheck
ActPlan
DoCheck
ActPlan
Do
Impostazione
Audit di Mantenimento
Audit di Certificazione
Quaderno UNINFO
34
La gestione della sicurezza delle informazioni e della privacy nelle PMI
ISO/IEC 27001, normativa privacy e PMI
Pubblicato il 27/09/2012 su iniziativa italiana,
liberamente scaricabile da:
http://tinyurl.com/jj2s537
Agenda e relatori
35
Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera
Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit
Aspetti legali e contrattuali connessi alla sicurezza delle informazioni
Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni
Relatore
36
Graziano GARRISI
Avvocato del foro di Lecce
Consulente privacy ed esperto in diritto delle nuove tecnologie - Studio
Legale Lisi e Digital & Law Department Srl
Socio fondatore e membro del Direttivo di ANORC (Associazione
Nazionale per Operatori e Responsabili della Conservazione Digitale)
Membro del Consiglio Direttivo di ANORC Professioni
Membro del CT 526 di UNINFO - GL 03 "Profili professionali relativi alla
privacy"
La Commissione Europea considera il regolamento europeo,
in quanto self-executing, come lo strumento più idoneo per
definire il quadro giuridico per la protezione dei dati personali
nell’UE. In quanto l’applicabilità diretta del regolamento negli
Stati membri ridurrà la frammentazione giuridica e offrirà
maggiore certezza giuridica, migliorando la tutela dei diritti
fondamentali delle persone fisiche e contribuendo al corretto
funzionamento del mercato interno.
Regolamento UE n. 2016/679 Regolamento del Parlamento europeo e del Consiglio concernente la
tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla
protezione dei dati)
37
Il Regolamento:
- abroga la vecchia direttiva 95/46/CE, recepita nei
vari Stati membri e anche nel nostro ordinamento
con il d.lgs. 196 del 2003 (Codice Privacy)
- non semplificherà l’attuale disciplina né ridurrà gli
oneri a carico dei titolari del trattamento, al
contrario introdurrà nuovi adempimenti e differenti
modelli organizzativi
- Esecutività (Regolamento): 2 anni da entrata in
vigore (= primavera 2018) E nel frattempo?
38
Regolamento UE n. 2016/679:
Diritti interessati: Trattamenti ulteriori, portabilità,
«oblio»
Obblighi titolari: Approccio basato sul rischio (privacy
by design, DPO, valutazione di impatto, notifica data
breach, trasferimento dati in Paesi extra UE,
certificazione…) + «Accountability»
Ruolo Autorità: Sportello unico e meccanismo di
coerenza (il Board), Sistema sanzionatorio
39
Regolamento Europeo: nuovo approccio alla protezione del dato
Adeguamento delle misure di sicurezza al nuovo contesto: nuove
tecnologie ed evoluzione del cyber crime
Enfatizzati i principi della vecchia direttiva EU
Richiesto un approccio sistemico alla sicurezza e alla protezione del dato
Richiamo alla RISK ANALISYS diffuso (misure di sicurezza, PIA)
Richiesta l’efficacia e l’adozione preventiva
Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza
Ricorso alla Certificazione come strumento per la compliance (ISO/IEC 29100)
40
ISO/IEC 29134: Privacy Impact Assessment
41
Preparazione della PIA
• Necessità
• Team
• Pianificazione
• Stakeholder
Esecuzione della PIA
• Flussi informativi
• Casi d'uso
• Contromisure esistenti
• Valutazione del rischio
• Trattamento del rischio
Follow-up
• Report
• Implementazione del piano
• Audit
• Gestione dei cambiamenti alla PIA
Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali;
b) La capacità di assicurare su base permanente la riservatezza, l’integrità,
la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a situazioni
avverse per garantire disponibilità dei servizi erogati)
c) La capacità di ripristinare tempestivamente la disponibilità e l’accesso
dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
d) Una procedura per testare, verificare e valutare regolarmente l’efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza
del trattamento
(vd. ISO/IEC 27001)
RIS
K A
NA
LIS
YS
, D
R,
IS
O
42
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati da trattamenti di dati derivanti in particolare dalla distruzione,
dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in
modo accidentale o illegale, a dati personali trasmessi, memorizzati o comunque
trattati.
3. L'adesione a un codice di condotta approvato ai sensi dell'articolo 40 o a un
meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere
utilizzata come elemento per dimostrare la conformità ai requisiti di cui al
paragrafo 1.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque
agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se
non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell'Unione o degli Stati membri.
Attenzione: una descrizione generale delle misure di sicurezza tecniche e
organizzative (di cui all'articolo 32, paragrafo) deve essere mantenuta all’intero dei
«Registri delle attività di trattamento»
43
MISURE DI SICUREZZA (nel D.Lgs. 196/2003)
TRE OBBLIGHI per i titolari del trattamento:
1. prevedere misure di sicurezza idonee a ridurre i rischi
2. adottare in ogni caso le “misure minime” previste dal Codice, e
quindi di assicurare comunque un livello minimo di protezione
dei dati personali
3. adottare le misure “necessarie” prescritte dal Garante ai sensi
dell’art. 154, comma 1, lett. c (Provvedimenti generali o specifici
nei confronti di singoli Titolari del trattamento)
Queste misure di sicurezza per il momento non vengono meno!
44
Viene ridisegnato l’organigramma privacy, con l’introduzione di nuove
figure soggettive e l’attribuzione di nuovi compiti e responsabilità:
• Titolare del trattamento (data controller);
• Contitolare (joint controller);
• Responsabile del trattamento (data processor);
• Sub-responsabile (subprocessor);
• Responsabile della protezione dei dati o Data Protection Officer (DPO).
I RUOLI e LE RESPONSABILITA’:
45
Il Regolamento Europeo: il Titolare
Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità
del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche
Art.22
Il titolare del trattamento mette in atto misure
tecniche e organizzative
(riesaminate/aggiornate se necessario) adeguate
per garantire ed essere in grado di dimostrare
che il trattamento dei dati personali è effettuato
conformemente al Regolamento.
Conserva la
documentazione e un
registro delle attività di
trattamento
mette in atto
meccanismi per
assicurare la verifica
dell’efficacia delle
misureAttua i requisiti di
sicurezza dei dati
nomina il DPO
esegue la valutazione d’impatto
sulla protezione dei dati
(e chiede un parere al DPO)
nomina i Responsabili e fornisce
istruzioni ai dipendenti
Politiche adeguate in
materia di protezione dei
dati da parte del titolare
del trattamento
46
L'esecuzione dei trattamenti su commissione è disciplinata
da un contratto o da altro atto giuridico che vincoli il
Responsabile del trattamento al Titolare del trattamento, in
cui siano stipulati la materia disciplinata e la durata del
trattamento, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i
diritti del titolare del trattamento.
Il Regolamento Europeo: il Responsabile
Art. 28, paragrafo 3
47
Contenuto del contratto (o altro atto giuridico) tra Titolare e Responsabile:
a) tratta i dati personali soltanto su istruzione documentata del titolare del
trattamento (anche in caso di trasferimento di dati personali verso un paese
terzo o un'organizzazione internazionale: l'incaricato informa il responsabile
circa tale obbligo giuridico prima del trattamento dei dati);
b) garantisce che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) prenda tutte le misure (di sicurezza) richieste ai sensi dell'articolo 32;
d) rispetta le condizioni per ricorrere a un altro responsabile del trattamento;
e) tenuto conto della natura del trattamento, assiste il titolare con misure
tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al
fine di soddisfare l'obbligo del titolare di dare seguito alle richieste per
l'esercizio dei diritti dell'interessato.
48
f) assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione dell'incaricato del trattamento (Misure di
sicurezza, Notificazione e Comunicazione data breaches, PIA e
Consultazione preventiva);
g) cancella o restituisce tutti i dati personali dopo che è terminata la prestazione
dei servizi di trattamento di dati e cancella le copie esistenti (su scelta del
responsabile del trattamento), salvo che il diritto dell'Unione o degli Stati
membri preveda la memorizzazione dei dati;
h) mette a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e
consente e contribuisce alle attività di revisione (audit), comprese le ispezioni,
realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
N.B.:Il Responsabile del trattamento informa immediatamente il Titolare del
trattamento qualora, a suo parere, un'istruzione violi il regolamento o le
disposizioni UE o degli Stati membri concernenti la protezione dei dati.
49
Designazioni Responsabili e divieto di nomina a «cascata»:
Il responsabile del trattamento non ricorre ad un altro responsabile senza previa
autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso
di autorizzazione scritta generale, il responsabile del trattamento informa il
titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la
sostituzione di altri responsabili del trattamento, dando così al titolare del
trattamento l'opportunità di opporsi a tali modifiche.
Quando un responsabile del trattamento ricorre a un altro responsabile del
trattamento per l'esecuzione di specifiche attività di trattamento per conto del
titolare del trattamento, su tale altro responsabile del trattamento sono
imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in
materia di protezione dei dati contenuti nel contratto o in altro atto
giuridico tra il titolare del trattamento e il responsabile del trattamento,
prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche
e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
regolamento.
50
La disciplina è molto più dettagliata rispetto a quella del Codice
Privacy che si limitava a richiedere l’analitica specificazione:
- dei compiti affidati al responsabile;
- delle istruzioni impartite dal titolare.
Tra gli obblighi documentali, cui il Regolamento attribuisce
grande rilievo, è prescritto ad entrambe le parti di documentare
per iscritto le istruzioni del titolare del trattamento e gli obblighi
del responsabile del trattamento. La conservazione della
documentazione assume, di conseguenza, una notevole
importanza (ciò tiene conto del principio di rendicontazione,
ovvero l’adozione di politiche interne e di meccanismi atti a
garantire e dimostrare il rispetto del regolamento).
51
- Qualora l'altro responsabile del trattamento ometta di adempiere ai propri
obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei
confronti del titolare e del trattamento l'intera responsabilità dell'adempimento
degli obblighi dell'altro responsabile;
- L'applicazione da parte del responsabile del trattamento di un codice di
condotta o di un meccanismo di certificazione può essere utilizzata come
elemento per dimostrare le garanzie sufficienti;
- Fatto salvo un contratto individuale tra il titolare del trattamento e il
responsabile del trattamento, il contratto o altro atto giuridico può basarsi, in
tutto o in parte, su clausole contrattuali tipo;
- Il contratto o altro atto giuridico è stipulato in forma scritta, anche in formato
elettronico;
- Se un responsabile del trattamento viola il regolamento, determinando le
finalità e i mezzi del trattamento (in maniera autonoma), è considerato un
titolare del trattamento in questione.
52
Ai sensi di quanto previsto nel Regolamento UE si pone, quindi,
in primo piano il problema della corretta contrattualizzazione
dei rapporti tra i soggetti titolari/contitolari/responsabili/sub-
responsabili coinvolti i quali, a seconda dello specifico
trattamento effettuato, concorreranno a vario titolo nella gestione
delle attività di trattamento (in quanto insieme o separatamente
possono determinano le finalità, le condizioni e i mezzi del
trattamento).
La mancata contrattualizzazione o la mancanza di chiarezza nella
contrattualizzazione (anche in materia di adozione di specifiche
misure di sicurezza), possono implicare una responsabilità
solidale tra i corresponsabili (vd. art. 82, paragrafo 4 e 5).
53
Importanza del contratto
Diritto al risarcimento e
responsabilità
1. Chiunque subisca un danno materiale o immateriale [patrimoniale e non
patrimoniale] cagionato da una violazione del presente regolamento ha il diritto
di ottenere il risarcimento del danno dal titolare del trattamento o dal
responsabile del trattamento.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure un
titolare del trattamento e un responsabile del trattamento siano coinvolti nello
stesso trattamento e siano responsabili dell'eventuale danno cagionato dal
trattamento, ogni titolare del trattamento o responsabile del trattamento
risponde per l'intero ammontare del danno, al fine di garantire il risarcimento
effettivo dell'interessato.
54
RESPONSABILITA’:
un titolare del trattamento coinvolto nel trattamento risponde per il
danno cagionato dal suo trattamento non conforme al presente
regolamento;
un responsabile del trattamento risponde per il danno cagionato dal
trattamento solo se non ha adempiuto gli obblighi del presente
regolamento specificatamente diretti ai responsabili del trattamento o
ha agito in modo esterno o contrario alle legittime istruzioni del titolare
del trattamento.
Il titolare del trattamento o il responsabile del trattamento è
esonerato dalla responsabilità se dimostra che l'evento
dannoso non gli è in alcun modo imputabile
55
ISO/IEC 29100 – Parallelo al GDPR
56
Framework per la protezione dei dati personali trattati con sistemi informativi
Definizione di termini (vocabolario) condivisi per il trattamento delle PII
Individuazione di attori e ruoli per la gestione dei PII
Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII
Classificazione delle PII
Considerazioni su metadati e PII non richieste
Tecniche di anonimizzazione o associazione a pseudonimi
Gestione dei rischi relativi alla privacy
Misure di sicurezza per far fronte ai rischi individuati
Privacy policy
Liberamente disponibile in inglese e (a pagamento) in italiano
Agenda e relatori
57
Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera
Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit
Aspetti legali e contrattuali connessi alla sicurezza delle informazioni
Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni
Relatore
58
Luciano QUARTARONE
Lead Auditor 27001, ITIL
Membro del CT 510 di UNINFO "Sicurezza"
Senior Information Security consultant at BL4CKSWAN S.r.l.
Fatturazione e Firme ElettronicheCosa intendiamo con i termini
«Fattura elettronica» e
«Firma Elettronica»?
Fattura elettronica: è un documento informato digitale caratterizzato dalla presenzadi una firma elettronica che ne garantisceautenticità ed integrità, che viene trasmessoad uno specifico sistema di interscambio;
Documento digitale (informatico): la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
Autenticità (del documento informatico): caratteristica di un documento informaticoche garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni omodifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore el'integrità del documento informatico;
Integrità (del documento informatico): insieme delle caratteristiche di un documentoinformatico che ne dichiarano la qualità di essere completo ed inalterato;
Sistema di interscambio: è la piattaforma che trasmette la fattura dal fornitore al«committente» (PA o privato);
59
Fatturazione e Firme ElettronicheCome funziona le fattura elettronica?
PRODOTTE TRASMESSE
Le fatture elettroniche vengono prodotte,trasmesse, archiviate e conservate…
CONSERVATE
in formato XML secondo una strutturaed una sintassi stadardizzata che negarantiscono l’interoperabilità.
60
PRODURRE una fattura elettronica…
Vuol dire predisporre il singolo file fattura od uninsieme di file fattura per l’invio al Sistema diinterscambio usando il formato XML definito daglistandard di riferimento secondo la nomenclaturaprevista
XML XSL HTML+ =
61
Fatturazione e Firme Elettroniche
PRODURRE una fattura elettronica…
…vuol dire anche firmare digitalmente il singolo filefattura o l’insieme di file fattura prima dell’invio alsistema di interscambio
La firma elettronica apposta alla fattura elettronica garantisce:• l’integrità delle informazioni contenute nella
fattura;• l’autenticità di chi emette la fattura;
I formati di firma supportati sono:• CAdES-BES (ETSI TS 101 733 V1.7.4);• XAdES-BES (ETSI TS 101 903 V1.4.1).
62
Fatturazione e Firme Elettroniche
TRASMETTERE una fattura elettronica…
Vuol dire inviare al Sistema di interscambio il fileprodotto e firmato, utilizzando una delle modalitàpreviste:
Posta Elettronica Certificata (PEC)garantisce l’invio e la ricezione del messaggio, attestandone la validità legale;
Invio Web (tramite il sito fatturapa.gov.it)usando CNS abilitata per i servizi telematici dell’Agenzia delle Entrate;
Invio tramite SDICoop (web-services)• SdIRiceviFile;• TrasmissioneFatture
63
Invio tramite SDIFTPutilizza il protocollo FTP per l’invio e la ricezione dei file
Invio tramite SPCoop-Trasmissione (web-services)utilizza webservices su sistema SCP
Fatturazione e Firme Elettroniche
Il Sistema di Interscambio…
64
Fatturazione e Firme Elettroniche
Produttore DestinatarioSDI
1. Invio del file fattura
2. Esegue controlli
3(a). Su errori, Notifica di scarto 3(b). Inoltra per l’elaborazione
4(a). Su errori, Notifica mancata consegna
4(b). Ricevuta di consegna
5. Notifica esito Committente
6(b). Notifica esito 6(a). Su errori, Scarto esito Committente
7. Se Destinatario non segnala nulla entro 15 gg, SDI inoltraNotifica decorrenza termini
8. Trascorsi 10gg da «Mancata Consegna», in presenza di errori SDI inoltraAttestazione di avvenuta trasmissione con impossibilità di recapito
CONSERVARE una fattura elettronica…
obbligo sia per i soggetti attivi, sia per i soggettipassivi.
Chi emette fattura alla PA è tenuto allaconservazione anche di tutte le ricevute rilasciatedal Sistema di Interscambio.
65
Fatturazione e Firme Elettroniche
Cosa intendiamo con i termini
«Fattura elettronica» e
«Firma Elettronica»?
Firma elettronica: l'insieme dei dati in formaelettronica, allegati oppure connessi tramiteassociazione logica ad altri dati elettronici,utilizzati come metodo di identificazioneinformatica;
Identificazione informatica: la validazione dell'insieme di dati attribuiti in modo esclusivo
ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi,effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezzadell'accesso;
Fatturazione e Firme Elettroniche
Certificato qualificato: il certificato elettronicoconforme ai requisiti di cui all'allegato I delladirettiva 1999/93/CE, rilasciati da certificatori cherispondono ai requisiti di cui all'allegato II dellamedesima direttiva;
66
67
firma elettronica: l'insieme dei datiin forma elettronica, allegati oppureconnessi tramite associazione logicaad altri dati elettronici, utilizzaticome metodo di identificazioneinformatica;
firma elettronica avanzata: insieme didati in forma elettronica allegatioppure connessi a un documentoinformatico che consentonol'identificazione del firmatario deldocumento e garantiscono laconnessione univoca al firmatario,creati con mezzi sui quali il firmatariopuò conservare un controlloesclusivo, collegati ai dati ai qualidetta firma si riferisce in modo daconsentire di rilevare se i dati stessisiano stati successivamentemodificati;
firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
firma remota: particolare proceduradi firma elettronica qualificata o difirma digitale, generata su HSM, checonsente di garantire il controlloesclusivo delle chiavi private daparte dei titolari delle stesse;
firma automatica: particolareprocedura informatica di firmaelettronica qualificata o di firmadigitale eseguita previaautorizzazione del sottoscrittore chemantiene il controllo esclusivo delleproprie chiavi di firma, in assenza dipresidio puntuale e continuo daparte di questo;
Firma Elettronica
Firma Elettronica Avanzata
Firma Elettronica Qualificata
Firma Digitale
Firma Remota
Firma Automatica
Fatturazione e Firme Elettroniche
68
…eIDAS
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO del 23 luglio 2014
in materia di identificazione elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato interno e che abroga la direttiva
1999/93/CE
Firma Elettronica
Firma Elettronica Avanzata
Firma Elettronica Qualificata
Firma Digitale
Fatturazione e Firme Elettroniche
Firma Remota
Firma Automatica
69
…eIDASFirma Elettronica
Firma Elettronica Avanzata
Firma Elettronica Qualificata
Fatturazione e Firme Elettroniche
Sigillo Elettronico dati in forma elettronica, acclusioppure connessi tramite associazionelogica ad altri dati in forma elettronicaper garantire l’origine e l’integrità diquesti ultimi
Sigillo Elettronico Avanzato un sigillo elettronico che soddisfi i requisiti sanciti all’articolo 36
Sigillo Elettronico Qualificato un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici
Cosa intendiamo con i termini
«Formati di Firma» e «Tipologia di Firma»
70
Fatturazione e Firme Elettroniche
Quanto visto fino ad ora, rappresenta l’insieme (non esaustivo) delleTIPOLOGIE di firma, ma esistono diversi FORMATI di firma il cui utilizzonon è sempre «interscambiabile»…
AdES - Advanced Electronic Signature
CAdESXAdESPAdES
ASiC
.p7m
.xml
CMS*
XMLPDF
* Cryptographic Message Syntax
Formati di Firma
71
Fatturazione e Firme Elettroniche
Ogni formato di firma, è organizzatoin una BUSTA CRITTOGRAFICAmodulare che permette di otteneredelle firme con caratteristiche anchemolto differenti fra loro. La strutturabase utilizza il PKCS#7 (RFC2315*)che è lo standard RSA di riferimentoper la sintassi dei messaggicrittografici.
* https://tools.ietf.org/html/rfc2315
HEADER PKCS#7
DOCUMENTO ORIGINALE
HASH DOCUMENTO
CERTIFICATO FIRMATARIO
CERTIFICATO CA
CAdES…
72
Fatturazione e Firme Elettroniche
Signer’sDocument
SignedAttribute
Digital Signature
CAdES BES
signature-timestamp
CAdES-T
Complete certificate and revocation referencesCAdES-C
Complete Certificate and Revocation DataCAdES-X Long
…e continua…
PKCS#7
… ed in pratica, che aspetto ha la firma elettronica?
73
Fatturazione e Firme Elettroniche
1) Consideriamo un generico documento pdf …
+ CAdES =
volantino.pdf volantino.pdf.p7m
… ed in pratica, che aspetto ha la firma elettronica?
74
Fatturazione e Firme Elettroniche
2) Consideriamo un generico documento pdf …
+ PAdES =
volantino.pdf Volantino-signed.pdf
… ed in pratica, che aspetto ha la firma elettronica?
75
Fatturazione e Firme Elettroniche
3) Consideriamo un generico file xml
+ XAdES =
Fattura.xml Fattura-signed.xml
Quali altre opportunità?
76
Fatturazione e Firme Elettroniche
• Implementata come una FEA, permette di firmare su tablet, smartphone, tavolette grafiche…
• Non solo firma «manoscritta», ma tutto ciò che «biometrico» (ISO/IEC 19794) può essere usato come forma di autenticazione e come fattore abilitante per la sottoscrizione di documenti.
• Occorre considerare le implicazioni Privacy dovute al trattamento di dati sensibili.
…Firma Grafometrica
Vengono catturate e memorizzate alcune caratteristiche uniche nel loro insieme…1. Posizione;2. Tempo;3. Pressione;4. Velocità5. Accelerazione
Quali elementi caratteristici posso
ricercare per selezionare i profili
professionali più adatti alla mia
azienda per proteggere le
informazioni aziendali?
Profili Professionali per la sicurezza delle informazioni
77
Seniority? Ethical hacking? Programmazione?Lingue? Diritto Amministrativo? …
Profili Professionali per la sicurezza delle informazioni
78
European e-Competence Framework
COMPETENZE abilità di applicare conoscenze, capacitàe attitudine per raggiungere risultati osservabili;
CAPACITA’ … di svolgere compiti gestionali o tecnici;
CONOSCENZE rappresenta l’insieme di “cose note”che possono essere indicate da descrizionioperazionali;
Profili Professionali per la sicurezza delle informazioni
79
European e-Competence Framework
[…]un modo per esprimere la capacità di un professionista ICT e perciò fornisce un modo di riconoscere i gap di skill e conoscenze che possono
essere richieste per migliorare le performance del singolo e quindi dell’organizzazione.
(fonte: European ICT Professional Profiles based on the e-CF)
Profili Professionali per la sicurezza delle informazioni
80
5 aree di competenza
(PLAN, BUILD, RUN, ENABLE, MANGE)
36 e-Competence(40 nella v3)
5 livelli di abilità
Esempi di Abilià e ConoscenzeDimensione 4
Dimensione 3
Dimensione 2
Dimensione 1
European e-Competence Framework
Profili Professionali per la sicurezza delle informazioni
81
European e-Competence Framework - esempio
Font
e C
WA
_16
23
4-1
Profili Professionali per la sicurezza delle informazioni
82
Quadro normativo italiano
Disposizioni in materia di professioni non organizzate, Legge n°4, 14/1/20136.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a normetecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cuialla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base dellelinee guida CEN 14 del 20106.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione versol'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali chedisciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano laqualificazione.9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaboranoall'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso lapartecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propricontributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensualità, democraticitàe trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi dicertificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza,imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantitidall'accreditamento di cui al comma 2.
Profili Professionali per la sicurezza delle informazioni
83
La normativa tecnica UNI – UNI 11506
"Attività professionali non regolamentate – Figure professionali operanti nelsettore ICT – Definizione dei requisiti di conoscenza, abilità e competenze»
• Recepisce in toto e-CF 2.0• Ufficializza la traduzione di e-CF 2.0 in italiano• Aggiunge gli elementi necessari per una qualificazione delle competenze:
• §6 Elementi per la valutazione e convalida dei risultatidell'apprendimento (metodi di valutazione e organizzazione che effettuala convalida)
• §7 Aspetti etici e deontologici applicabili
Profili Professionali per la sicurezza delle informazioni
84
La normativa tecnica UNI – UNI 11621
Profili Professionali per la sicurezza delle informazioni
85
La normativa tecnica UNI – UNI 11621-4Profili Professionali relativi alla Sicurezza delle Informazioni
Profili Professionali per la sicurezza delle informazioni
86
UNI – UNI 11621-4
88
Contatti e ringraziamenti
UNINFOhttp://www.uninfo.it/
[email protected] Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837
Relatori:
Cesare [email protected]
Graziano [email protected]
Fabio [email protected]
Luciano [email protected]
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit