Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

SICUREZZA INFORMATICAOPPORTUNITÀ E RISCHI PER GRANDI IMPRESE

E PMI MANIFATTURIERE

INCONTRI DI CONFINDUSTRIA MACCHINE

Milano, 7 luglio 2016

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it

Agenda e relatori

2

Introduzione alla sicurezza informatica e legami con l’attività di produzione manifatturiera

Panoramica sulle norme internazionali per la sicurezza delle informazioni, certificazione e audit

Aspetti legali e contrattuali connessi alla sicurezza delle informazioni

Fatturazione e firme elettroniche, profili professionali per la sicurezza delle informazioni


Agenda e relatori

3






Relatore

4

Fabio GUASCONI

Direttivo di UNINFO

Presidente del CT 510 di UNINFO "Sicurezza"

Membro del CT 526 di UNINFO "APNR"

Direttivo CLUSIT

CISA, CISM, PCI-QSA, ITIL, ISFS,

Lead Auditor 27001 & 9001

Partner e co-founder BL4CKSWAN S.r.l.


Sicurezza di cosa? Intendiamoci ...

5

Sicurezza delle informazioniPreservazione della riservatezza, dell’integritàe della disponibilità delle informazioni

Disponibilità

Proprietà di essere accessibile e usabile a richiesta di un’entità autorizzata

Integrità

Proprietà relativa all’accuratezza e alla completezza

Riservatezza

Proprietà delle informazioni di non essere rese disponibili o divulgate a individui, entità o processi non autorizzati


Da cosa ci difendiamo?

6


Da cosa ci difendiamo?

7

Presenza web

Siti vetrina o e-commerce Posta elettronica Accesso remoto a file e sistemi

Progettazione

Specifiche di prodotto / disegni Know-how aziendale

Amministrazione e contabilità

Accesso ai conti aziendali Dati personali dei dipendenti Budget e dati finanziari

Management

Strategie aziendali Legale rappresentanza

Produzione

Sistemi tecnologici

Commerciale

Dati dei Clienti

MalwareSabo-taggio

Attacchi web-based

DoS

Phishing

DoS

Furto identità


Ma a noi interessa davvero?

8



9

Phishing su Internet Banking

1) Creazione di un sito web più possibile similare a quello legittimo

2) Invio indiscriminato (se mirato si tratta di spear-phshing) di email contraffatte che portano l’utente verso il sito web contraffatto

3) Raccolta di credenziali valide degli utenti tramite sito web contraffatto

4) Riuso delle credenziali raccolte sul sito legittimo / su altri siti per transazioni illecite

http://www.sonicwall.com/phishing/



10

Cryptolocker

1) Apertura di allegato di email infetto o consultazione di sito web con contenuti malevoli

2) Cifratura dei contenuti del disco locale e dei dischi di rete acceduti

3) Richiesta di riscatto in Bitcoin (o altra valuta non tracciabile) per avere le chiavi di decifratura da parte del malware entro 3 o 4 giorni di tempo



11

Attacco per finto bonifico

1) Compromissione o registrazione di dominio di posta elettronica di un fornitore

2) Apertura di un conto ponte che non desti sospetti

3) Invio di email per richiesta di modifica del conto registrato per i pagamenti verso un cliente

4) Incasso del bonifico e spostamento di denaro su conto off-shore



12

D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai?

R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non subire danni come una grande azienda. Pochi danni = poco risalto sui mass media

D: Noi non abbiamo mai avuto problemi di questo tipo™, perché?

R: Due cause sono quelle più plausibili:

1) avete avuto MOLTA fortuna

2) non ve ne siete mai accorti

D: Quelle per la sicurezza informatica non sono altre spese inutili?

R: Le spese fatte senza solidi criteri o per mettere a posto i danni tendono ad essere inutili, un sensato livello di protezione è anche economicamente efficace.


Come ci difendiamo

13

Riduciamo la lunghezza delle nostre mura e consolidiamole

Dove sono le informazioni aziendali?

Chi vi deve poter accedere?

Possono essere accentrate e messe sotto controllo?


Come ci difendiamo

14

Adottiamo misure di igiene informatica su tutti i sistemi aziendali.

Parliamo di misure di:

Antimalware

Autenticazione

Aggiornamento

Backup

Cifratura

Limitazione della connettività

Limitazione dei privilegi


Come ci difendiamo

15

Esempio: gestiamo correttamente l’autenticazione ai sistemi


Come ci difendiamo

16

Informiamo e formiamo periodicamente il nostro personale:

su cosa devono fareper stare in sicurezza (v. uso delle password)

su cosa non devono fare per evitare le minacce (v. phishing)

sul perché la sicurezza delle informazioni è importante (v. giornata odierna)


Come ci difendiamo

17

I temi da toccare sono diversi e coinvolgono non solo i tecnici (o i fornitori) informatici ma tutta l’azienda, ognuno per il suo.

Per essere efficaci è necessario un APPROCCIO COMPLESSIVO alla sicurezza … e, vista la complessità dei temi, non è necessario inventarselo da capo


Agenda e relatori

18






Una «norma» è una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi, e che appartenga a una delle seguenti categorie:

a) «norma internazionale»: una norma adottata da un organismo di normazione internazionale;

b) «norma europea»: una norma adottata da un’organizzazione europea di normazione;

c) «norma armonizzata»: una norma europea adottata sulla base di una richiesta della Commissione ai fini dell’applicazione della legislazione dell’Unione sull’armonizzazione;

d) «norma nazionale»: una norma adottata da un organismo di normazione nazionale.

Standard? Norma tecnica?

19

Dal Regolamento UE 1025/2012:


Principi alla base delle norme

20

DEMOCRAZIA

• Tutte le parti interessate possono partecipare ai lavori di normazione

CONSENSO

• I lavori progrediscono attraverso il consenso dei partecipanti ai lavori

VOLONTARIETÀ

• Le norme sono il punto di riferimento che tutte le parti interessate adottano spontaneamente

TRASPARENZA

• L'Ente di normazione rende noti i passaggi di approvazione a tutte le parti interessate


Benefici derivanti dall'uso delle norme

21

1 Le norme sono scritte da esperti della cui competenza si può beneficiare direttamente facendovi riferimento, senza necessità di avvalersi della loro collaborazione diretta

2 Le norme, soprattutto se internazionali, sono adottate da diversi enti e mercati, formando una base comune per l'interscambio di beni e servizi con caratteristiche omogenee

3 Un incremento dell'uso delle norme permette una maturazione ed un aumento dell'efficacia produttiva di un mercato


Norme e Leggi

22

è volontaria è frutto di un processo basato

sul concetto di consenso è uno strumento di

trasferimento tecnologico è pubblicata da un Ente di

normazione

è obbligatoria è frutto di un processo basato

sul concetto di rappresentanza è uno strumento di

regolamentazione del mercato è pubblicata da un organismo

governativo in Gazzetta Ufficialeo in un atto legislativo

Regola TecnicaNorma Tecnica


Chi sviluppa le norme in Italia

23

CIG(Gas)

CTI(Termotecnico)

CUNA(Automobilistico)

UNISIDER(Metallurgico)

UNIPLAST(Materieplastiche)

UNICHIM(Chimico)

UNINFO (ICT)


UNINFO

24

“UNINFO è una libera Associazione a carattere tecnico-scientifico

e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.”

Estratto dallo Statuto UNINFO


Attività di UNINFO

25

Tra gli ambiti normati da UNINFO:

Automazione (Telepass)

Codifica video (MPEG)

Fatturazione elettronica

Formati dei documenti (ODF, OOXML, ePUB)

Profili professionali

Sicurezza Informatica


Attività di UNINFO

26

Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+)

• Sistemi di gestione per la sicurezza delle informazioni (27001, 27002)

• Linee guida per i sistemi di gestione (2700X)

• Linee guida di settore (2701X)

• Linee guida per la sicurezza (2703X-2704X)

• Certificazione della sicurezza dei prodotti (15408, 18045)

• Autenticazione e biometria (2476X)

• Protezione dei dati personali (291XX)

• Crittografia (979X, 18033)

• Modelli di maturità ICT (21827)


Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).

• Applicabile a realtà di ogni dimensione

• Quasi 20 anni di esistenza sul mercato

• Ambito definibile a piacimento

• Approccio ciclico (PDCA)

• Costituisce un framework completo

• Dice cosa fare, non come farlo

• Rivolto al miglioramento continuo

• E’ un riferimento universale e certificabile

ISO/IEC 27001

27


PDCA e ISO/IEC 27001

28

P

D

C

A

4contesto

5leadership

6pianificazione

7supporto

8attività

operative

9valutazione

prestazioni

10miglioramento

Appendice

A


Diffusione della ISO/IEC 27001 in Italia

29

Fonte: Accredia, andamento delle aziende certificate

0

50

100

150

200

250

300

350

400

450

500

gen

-06

mag

-06

set-

06

gen

-07

mag

-07

set-

07

gen

-08

mag

-08

set-

08

gen

-09

mag

-09

set-

09

gen

-10

mag

-10

set-

10

gen

-11

mag

-11

set-

11

gen

-12

mag

-12

set-

12

gen

-13

mag

-13

set-

13

gen

-14

mag

-14

set-

14

gen

-15

mag

-15

set-

15

gen

-16

475


Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000:

Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può

essere considerata come un esteso catalogo.

Analisi del rischio secondo ISO/IEC 27001:2013

30

Definizione del contesto

Valutazione del rischio

Trattamento del rischio


ISO/IEC 27002:2013

31


E’ possibile, ma assolutamente non obbligatorio, raggiungere una certificazione di terza parte una volta che si è adottata la norma.

La certificazione, oltre a essere utile per partecipare a gare, permette un ritorno d’immagine per gli investimenti effettuati.

Certificazione di un SGSI

32


Certificazione di un SGSI

33

Check

ActPlan

Do

1° Anno 2° Anno 3° Anno

Audit diCertificazione

Audit di Mantenimento

Check

ActPlan

DoCheck

ActPlan

DoCheck

ActPlan

Do

Impostazione

Audit di Mantenimento

Audit di Certificazione


Quaderno UNINFO

34

La gestione della sicurezza delle informazioni e della privacy nelle PMI

ISO/IEC 27001, normativa privacy e PMI

Pubblicato il 27/09/2012 su iniziativa italiana,

liberamente scaricabile da:

http://tinyurl.com/jj2s537


http://tinyurl.com/jj2s537

Agenda e relatori

35






Relatore

36

Graziano GARRISI

Avvocato del foro di Lecce

Consulente privacy ed esperto in diritto delle nuove tecnologie - Studio

Legale Lisi e Digital & Law Department Srl

Socio fondatore e membro del Direttivo di ANORC (Associazione

Nazionale per Operatori e Responsabili della Conservazione Digitale)

Membro del Consiglio Direttivo di ANORC Professioni

Membro del CT 526 di UNINFO - GL 03 "Profili professionali relativi alla

privacy"


La Commissione Europea considera il regolamento europeo,

in quanto self-executing, come lo strumento più idoneo per

definire il quadro giuridico per la protezione dei dati personali

nell’UE. In quanto l’applicabilità diretta del regolamento negli

Stati membri ridurrà la frammentazione giuridica e offrirà

maggiore certezza giuridica, migliorando la tutela dei diritti

fondamentali delle persone fisiche e contribuendo al corretto

funzionamento del mercato interno.

Regolamento UE n. 2016/679 Regolamento del Parlamento europeo e del Consiglio concernente la

tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla

protezione dei dati)

37


Il Regolamento:

- abroga la vecchia direttiva 95/46/CE, recepita nei

vari Stati membri e anche nel nostro ordinamento

con il d.lgs. 196 del 2003 (Codice Privacy)

- non semplificherà l’attuale disciplina né ridurrà gli

oneri a carico dei titolari del trattamento, al

contrario introdurrà nuovi adempimenti e differenti

modelli organizzativi

- Esecutività (Regolamento): 2 anni da entrata in

vigore (= primavera 2018) E nel frattempo?

38


Regolamento UE n. 2016/679:

Diritti interessati: Trattamenti ulteriori, portabilità,

«oblio»

Obblighi titolari: Approccio basato sul rischio (privacy

by design, DPO, valutazione di impatto, notifica data

breach, trasferimento dati in Paesi extra UE,

certificazione…) + «Accountability»

Ruolo Autorità: Sportello unico e meccanismo di

coerenza (il Board), Sistema sanzionatorio

39


Regolamento Europeo: nuovo approccio alla protezione del dato

Adeguamento delle misure di sicurezza al nuovo contesto: nuove

tecnologie ed evoluzione del cyber crime

Enfatizzati i principi della vecchia direttiva EU

Richiesto un approccio sistemico alla sicurezza e alla protezione del dato

Richiamo alla RISK ANALISYS diffuso (misure di sicurezza, PIA)

Richiesta l’efficacia e l’adozione preventiva

Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza

Ricorso alla Certificazione come strumento per la compliance (ISO/IEC 29100)

40


ISO/IEC 29134: Privacy Impact Assessment

41

Preparazione della PIA

• Necessità

• Team

• Pianificazione

• Stakeholder

Esecuzione della PIA

• Flussi informativi

• Casi d'uso

• Contromisure esistenti

• Valutazione del rischio

• Trattamento del rischio

Follow-up

• Report

• Implementazione del piano

• Audit

• Gestione dei cambiamenti alla PIA


Art.32 Sicurezza del trattamento

a) La pseudonimizazione e la cifratura dei dati personali;

b) La capacità di assicurare su base permanente la riservatezza, l’integrità,

la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

(capacità di adattamento a condizione d’uso e resistenza a situazioni

avverse per garantire disponibilità dei servizi erogati)

c) La capacità di ripristinare tempestivamente la disponibilità e l’accesso

dei dati personali in caso di incidente fisico o tecnico;

(procedure di DR e incident response)

d) Una procedura per testare, verificare e valutare regolarmente l’efficacia

delle misure tecniche e organizzative al fine di garantire la sicurezza

del trattamento

(vd. ISO/IEC 27001)

RIS

K A

NA

LIS

YS

, D

R,

IS

O

42


2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei

rischi presentati da trattamenti di dati derivanti in particolare dalla distruzione,

dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in

modo accidentale o illegale, a dati personali trasmessi, memorizzati o comunque

trattati.

3. L'adesione a un codice di condotta approvato ai sensi dell'articolo 40 o a un

meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere

utilizzata come elemento per dimostrare la conformità ai requisiti di cui al

paragrafo 1.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque

agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se

non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto

dell'Unione o degli Stati membri.

Attenzione: una descrizione generale delle misure di sicurezza tecniche e

organizzative (di cui all'articolo 32, paragrafo) deve essere mantenuta all’intero dei

«Registri delle attività di trattamento»

43


MISURE DI SICUREZZA (nel D.Lgs. 196/2003)

TRE OBBLIGHI per i titolari del trattamento:

1. prevedere misure di sicurezza idonee a ridurre i rischi

2. adottare in ogni caso le “misure minime” previste dal Codice, e

quindi di assicurare comunque un livello minimo di protezione

dei dati personali

3. adottare le misure “necessarie” prescritte dal Garante ai sensi

dell’art. 154, comma 1, lett. c (Provvedimenti generali o specifici

nei confronti di singoli Titolari del trattamento)

Queste misure di sicurezza per il momento non vengono meno!

44


Viene ridisegnato l’organigramma privacy, con l’introduzione di nuove

figure soggettive e l’attribuzione di nuovi compiti e responsabilità:

• Titolare del trattamento (data controller);

• Contitolare (joint controller);

• Responsabile del trattamento (data processor);

• Sub-responsabile (subprocessor);

• Responsabile della protezione dei dati o Data Protection Officer (DPO).

I RUOLI e LE RESPONSABILITA’:

45


Il Regolamento Europeo: il Titolare

Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità

del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le

libertà delle persone fisiche

Art.22

Il titolare del trattamento mette in atto misure

tecniche e organizzative

(riesaminate/aggiornate se necessario) adeguate

per garantire ed essere in grado di dimostrare

che il trattamento dei dati personali è effettuato

conformemente al Regolamento.

Conserva la

documentazione e un

registro delle attività di

trattamento

mette in atto

meccanismi per

assicurare la verifica

dell’efficacia delle

misureAttua i requisiti di

sicurezza dei dati

nomina il DPO

esegue la valutazione d’impatto

sulla protezione dei dati

(e chiede un parere al DPO)

nomina i Responsabili e fornisce

istruzioni ai dipendenti

Politiche adeguate in

materia di protezione dei

dati da parte del titolare

del trattamento

46


L'esecuzione dei trattamenti su commissione è disciplinata

da un contratto o da altro atto giuridico che vincoli il

Responsabile del trattamento al Titolare del trattamento, in

cui siano stipulati la materia disciplinata e la durata del

trattamento, la natura e la finalità del trattamento, il tipo di

dati personali e le categorie di interessati, gli obblighi e i

diritti del titolare del trattamento.

Il Regolamento Europeo: il Responsabile

Art. 28, paragrafo 3

47


Contenuto del contratto (o altro atto giuridico) tra Titolare e Responsabile:

a) tratta i dati personali soltanto su istruzione documentata del titolare del

trattamento (anche in caso di trasferimento di dati personali verso un paese

terzo o un'organizzazione internazionale: l'incaricato informa il responsabile

circa tale obbligo giuridico prima del trattamento dei dati);

b) garantisce che le persone autorizzate al trattamento dei dati personali si

siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di

riservatezza;

c) prenda tutte le misure (di sicurezza) richieste ai sensi dell'articolo 32;

d) rispetta le condizioni per ricorrere a un altro responsabile del trattamento;

e) tenuto conto della natura del trattamento, assiste il titolare con misure

tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al

fine di soddisfare l'obbligo del titolare di dare seguito alle richieste per

l'esercizio dei diritti dell'interessato.

48


f) assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui

agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle

informazioni a disposizione dell'incaricato del trattamento (Misure di

sicurezza, Notificazione e Comunicazione data breaches, PIA e

Consultazione preventiva);

g) cancella o restituisce tutti i dati personali dopo che è terminata la prestazione

dei servizi di trattamento di dati e cancella le copie esistenti (su scelta del

responsabile del trattamento), salvo che il diritto dell'Unione o degli Stati

membri preveda la memorizzazione dei dati;

h) mette a disposizione del titolare del trattamento tutte le informazioni

necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e

consente e contribuisce alle attività di revisione (audit), comprese le ispezioni,

realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

N.B.:Il Responsabile del trattamento informa immediatamente il Titolare del

trattamento qualora, a suo parere, un'istruzione violi il regolamento o le

disposizioni UE o degli Stati membri concernenti la protezione dei dati.

49


Designazioni Responsabili e divieto di nomina a «cascata»:

Il responsabile del trattamento non ricorre ad un altro responsabile senza previa

autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso

di autorizzazione scritta generale, il responsabile del trattamento informa il

titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la

sostituzione di altri responsabili del trattamento, dando così al titolare del

trattamento l'opportunità di opporsi a tali modifiche.

Quando un responsabile del trattamento ricorre a un altro responsabile del

trattamento per l'esecuzione di specifiche attività di trattamento per conto del

titolare del trattamento, su tale altro responsabile del trattamento sono

imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in

materia di protezione dei dati contenuti nel contratto o in altro atto

giuridico tra il titolare del trattamento e il responsabile del trattamento,

prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche

e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del

regolamento.

50


La disciplina è molto più dettagliata rispetto a quella del Codice

Privacy che si limitava a richiedere l’analitica specificazione:

- dei compiti affidati al responsabile;

- delle istruzioni impartite dal titolare.

Tra gli obblighi documentali, cui il Regolamento attribuisce

grande rilievo, è prescritto ad entrambe le parti di documentare

per iscritto le istruzioni del titolare del trattamento e gli obblighi

del responsabile del trattamento. La conservazione della

documentazione assume, di conseguenza, una notevole

importanza (ciò tiene conto del principio di rendicontazione,

ovvero l’adozione di politiche interne e di meccanismi atti a

garantire e dimostrare il rispetto del regolamento).

51


- Qualora l'altro responsabile del trattamento ometta di adempiere ai propri

obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei

confronti del titolare e del trattamento l'intera responsabilità dell'adempimento

degli obblighi dell'altro responsabile;

- L'applicazione da parte del responsabile del trattamento di un codice di

condotta o di un meccanismo di certificazione può essere utilizzata come

elemento per dimostrare le garanzie sufficienti;

- Fatto salvo un contratto individuale tra il titolare del trattamento e il

responsabile del trattamento, il contratto o altro atto giuridico può basarsi, in

tutto o in parte, su clausole contrattuali tipo;

- Il contratto o altro atto giuridico è stipulato in forma scritta, anche in formato

elettronico;

- Se un responsabile del trattamento viola il regolamento, determinando le

finalità e i mezzi del trattamento (in maniera autonoma), è considerato un

titolare del trattamento in questione.

52


Ai sensi di quanto previsto nel Regolamento UE si pone, quindi,

in primo piano il problema della corretta contrattualizzazione

dei rapporti tra i soggetti titolari/contitolari/responsabili/sub-

responsabili coinvolti i quali, a seconda dello specifico

trattamento effettuato, concorreranno a vario titolo nella gestione

delle attività di trattamento (in quanto insieme o separatamente

possono determinano le finalità, le condizioni e i mezzi del

trattamento).

La mancata contrattualizzazione o la mancanza di chiarezza nella

contrattualizzazione (anche in materia di adozione di specifiche

misure di sicurezza), possono implicare una responsabilità

solidale tra i corresponsabili (vd. art. 82, paragrafo 4 e 5).

53


Importanza del contratto

Diritto al risarcimento e

responsabilità

1. Chiunque subisca un danno materiale o immateriale [patrimoniale e non

patrimoniale] cagionato da una violazione del presente regolamento ha il diritto

di ottenere il risarcimento del danno dal titolare del trattamento o dal

responsabile del trattamento.

4. Qualora più titolari del trattamento o responsabili del trattamento oppure un

titolare del trattamento e un responsabile del trattamento siano coinvolti nello

stesso trattamento e siano responsabili dell'eventuale danno cagionato dal

trattamento, ogni titolare del trattamento o responsabile del trattamento

risponde per l'intero ammontare del danno, al fine di garantire il risarcimento

effettivo dell'interessato.

54


RESPONSABILITA’:

un titolare del trattamento coinvolto nel trattamento risponde per il

danno cagionato dal suo trattamento non conforme al presente

regolamento;

un responsabile del trattamento risponde per il danno cagionato dal

trattamento solo se non ha adempiuto gli obblighi del presente

regolamento specificatamente diretti ai responsabili del trattamento o

ha agito in modo esterno o contrario alle legittime istruzioni del titolare

del trattamento.

Il titolare del trattamento o il responsabile del trattamento è

esonerato dalla responsabilità se dimostra che l'evento

dannoso non gli è in alcun modo imputabile

55


ISO/IEC 29100 – Parallelo al GDPR

56

Framework per la protezione dei dati personali trattati con sistemi informativi

Definizione di termini (vocabolario) condivisi per il trattamento delle PII

Individuazione di attori e ruoli per la gestione dei PII

Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII

Classificazione delle PII

Considerazioni su metadati e PII non richieste

Tecniche di anonimizzazione o associazione a pseudonimi

Gestione dei rischi relativi alla privacy

Misure di sicurezza per far fronte ai rischi individuati

Privacy policy

Liberamente disponibile in inglese e (a pagamento) in italiano


Agenda e relatori

57






Relatore

58

Luciano QUARTARONE

Lead Auditor 27001, ITIL

Membro del CT 510 di UNINFO "Sicurezza"

Senior Information Security consultant at BL4CKSWAN S.r.l.


Fatturazione e Firme ElettronicheCosa intendiamo con i termini

«Fattura elettronica» e

«Firma Elettronica»?

Fattura elettronica: è un documento informato digitale caratterizzato dalla presenzadi una firma elettronica che ne garantisceautenticità ed integrità, che viene trasmessoad uno specifico sistema di interscambio;

Documento digitale (informatico): la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;

Autenticità (del documento informatico): caratteristica di un documento informaticoche garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni omodifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore el'integrità del documento informatico;

Integrità (del documento informatico): insieme delle caratteristiche di un documentoinformatico che ne dichiarano la qualità di essere completo ed inalterato;

Sistema di interscambio: è la piattaforma che trasmette la fattura dal fornitore al«committente» (PA o privato);

59


Fatturazione e Firme ElettronicheCome funziona le fattura elettronica?

PRODOTTE TRASMESSE

Le fatture elettroniche vengono prodotte,trasmesse, archiviate e conservate…

CONSERVATE

in formato XML secondo una strutturaed una sintassi stadardizzata che negarantiscono l’interoperabilità.

60


PRODURRE una fattura elettronica…

Vuol dire predisporre il singolo file fattura od uninsieme di file fattura per l’invio al Sistema diinterscambio usando il formato XML definito daglistandard di riferimento secondo la nomenclaturaprevista

XML XSL HTML+ =

61

Fatturazione e Firme Elettroniche


PRODURRE una fattura elettronica…

…vuol dire anche firmare digitalmente il singolo filefattura o l’insieme di file fattura prima dell’invio alsistema di interscambio

La firma elettronica apposta alla fattura elettronica garantisce:• l’integrità delle informazioni contenute nella

fattura;• l’autenticità di chi emette la fattura;

I formati di firma supportati sono:• CAdES-BES (ETSI TS 101 733 V1.7.4);• XAdES-BES (ETSI TS 101 903 V1.4.1).

62



TRASMETTERE una fattura elettronica…

Vuol dire inviare al Sistema di interscambio il fileprodotto e firmato, utilizzando una delle modalitàpreviste:

Posta Elettronica Certificata (PEC)garantisce l’invio e la ricezione del messaggio, attestandone la validità legale;

Invio Web (tramite il sito fatturapa.gov.it)usando CNS abilitata per i servizi telematici dell’Agenzia delle Entrate;

Invio tramite SDICoop (web-services)• SdIRiceviFile;• TrasmissioneFatture

63

Invio tramite SDIFTPutilizza il protocollo FTP per l’invio e la ricezione dei file

Invio tramite SPCoop-Trasmissione (web-services)utilizza webservices su sistema SCP



Il Sistema di Interscambio…

64


Produttore DestinatarioSDI

1. Invio del file fattura

2. Esegue controlli

3(a). Su errori, Notifica di scarto 3(b). Inoltra per l’elaborazione

4(a). Su errori, Notifica mancata consegna

4(b). Ricevuta di consegna

5. Notifica esito Committente

6(b). Notifica esito 6(a). Su errori, Scarto esito Committente

7. Se Destinatario non segnala nulla entro 15 gg, SDI inoltraNotifica decorrenza termini

8. Trascorsi 10gg da «Mancata Consegna», in presenza di errori SDI inoltraAttestazione di avvenuta trasmissione con impossibilità di recapito


CONSERVARE una fattura elettronica…

obbligo sia per i soggetti attivi, sia per i soggettipassivi.

Chi emette fattura alla PA è tenuto allaconservazione anche di tutte le ricevute rilasciatedal Sistema di Interscambio.

65



Cosa intendiamo con i termini

«Fattura elettronica» e

«Firma Elettronica»?

Firma elettronica: l'insieme dei dati in formaelettronica, allegati oppure connessi tramiteassociazione logica ad altri dati elettronici,utilizzati come metodo di identificazioneinformatica;

Identificazione informatica: la validazione dell'insieme di dati attribuiti in modo esclusivo

ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi,effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezzadell'accesso;


Certificato qualificato: il certificato elettronicoconforme ai requisiti di cui all'allegato I delladirettiva 1999/93/CE, rilasciati da certificatori cherispondono ai requisiti di cui all'allegato II dellamedesima direttiva;

66


67

firma elettronica: l'insieme dei datiin forma elettronica, allegati oppureconnessi tramite associazione logicaad altri dati elettronici, utilizzaticome metodo di identificazioneinformatica;

firma elettronica avanzata: insieme didati in forma elettronica allegatioppure connessi a un documentoinformatico che consentonol'identificazione del firmatario deldocumento e garantiscono laconnessione univoca al firmatario,creati con mezzi sui quali il firmatariopuò conservare un controlloesclusivo, collegati ai dati ai qualidetta firma si riferisce in modo daconsentire di rilevare se i dati stessisiano stati successivamentemodificati;

firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;

firma remota: particolare proceduradi firma elettronica qualificata o difirma digitale, generata su HSM, checonsente di garantire il controlloesclusivo delle chiavi private daparte dei titolari delle stesse;

firma automatica: particolareprocedura informatica di firmaelettronica qualificata o di firmadigitale eseguita previaautorizzazione del sottoscrittore chemantiene il controllo esclusivo delleproprie chiavi di firma, in assenza dipresidio puntuale e continuo daparte di questo;

Firma Elettronica

Firma Elettronica Avanzata

Firma Elettronica Qualificata

Firma Digitale

Firma Remota

Firma Automatica



68

…eIDAS

REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL

CONSIGLIO del 23 luglio 2014

in materia di identificazione elettronica e servizi fiduciari per le

transazioni elettroniche nel mercato interno e che abroga la direttiva

1999/93/CE

Firma Elettronica



Firma Digitale


Firma Remota

Firma Automatica


69

…eIDASFirma Elettronica




Sigillo Elettronico dati in forma elettronica, acclusioppure connessi tramite associazionelogica ad altri dati in forma elettronicaper garantire l’origine e l’integrità diquesti ultimi

Sigillo Elettronico Avanzato un sigillo elettronico che soddisfi i requisiti sanciti all’articolo 36

Sigillo Elettronico Qualificato un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici


Cosa intendiamo con i termini

«Formati di Firma» e «Tipologia di Firma»

70


Quanto visto fino ad ora, rappresenta l’insieme (non esaustivo) delleTIPOLOGIE di firma, ma esistono diversi FORMATI di firma il cui utilizzonon è sempre «interscambiabile»…

AdES - Advanced Electronic Signature

CAdESXAdESPAdES

ASiC

.p7m

.xml

.pdf

CMS*

XMLPDF

* Cryptographic Message Syntax


Formati di Firma

71


Ogni formato di firma, è organizzatoin una BUSTA CRITTOGRAFICAmodulare che permette di otteneredelle firme con caratteristiche anchemolto differenti fra loro. La strutturabase utilizza il PKCS#7 (RFC2315*)che è lo standard RSA di riferimentoper la sintassi dei messaggicrittografici.

* https://tools.ietf.org/html/rfc2315

HEADER PKCS#7

DOCUMENTO ORIGINALE

HASH DOCUMENTO

CERTIFICATO FIRMATARIO

CERTIFICATO CA


CAdES…

72


Signer’sDocument

SignedAttribute

Digital Signature

CAdES BES

signature-timestamp

CAdES-T

Complete certificate and revocation referencesCAdES-C

Complete Certificate and Revocation DataCAdES-X Long

…e continua…

PKCS#7


… ed in pratica, che aspetto ha la firma elettronica?

73


1) Consideriamo un generico documento pdf …

+ CAdES =

volantino.pdf volantino.pdf.p7m



74


2) Consideriamo un generico documento pdf …

+ PAdES =

volantino.pdf Volantino-signed.pdf



75


3) Consideriamo un generico file xml

+ XAdES =

Fattura.xml Fattura-signed.xml


Quali altre opportunità?

76


• Implementata come una FEA, permette di firmare su tablet, smartphone, tavolette grafiche…

• Non solo firma «manoscritta», ma tutto ciò che «biometrico» (ISO/IEC 19794) può essere usato come forma di autenticazione e come fattore abilitante per la sottoscrizione di documenti.

• Occorre considerare le implicazioni Privacy dovute al trattamento di dati sensibili.

…Firma Grafometrica

Vengono catturate e memorizzate alcune caratteristiche uniche nel loro insieme…1. Posizione;2. Tempo;3. Pressione;4. Velocità5. Accelerazione


Quali elementi caratteristici posso

ricercare per selezionare i profili

professionali più adatti alla mia

azienda per proteggere le

informazioni aziendali?

Profili Professionali per la sicurezza delle informazioni

77

Seniority? Ethical hacking? Programmazione?Lingue? Diritto Amministrativo? …



78

European e-Competence Framework

COMPETENZE abilità di applicare conoscenze, capacitàe attitudine per raggiungere risultati osservabili;

CAPACITA’ … di svolgere compiti gestionali o tecnici;

CONOSCENZE rappresenta l’insieme di “cose note”che possono essere indicate da descrizionioperazionali;



79


[…]un modo per esprimere la capacità di un professionista ICT e perciò fornisce un modo di riconoscere i gap di skill e conoscenze che possono

essere richieste per migliorare le performance del singolo e quindi dell’organizzazione.

(fonte: European ICT Professional Profiles based on the e-CF)



80

5 aree di competenza

(PLAN, BUILD, RUN, ENABLE, MANGE)

36 e-Competence(40 nella v3)

5 livelli di abilità

Esempi di Abilià e ConoscenzeDimensione 4

Dimensione 3

Dimensione 2

Dimensione 1




81

European e-Competence Framework - esempio

Font

e C

WA

_16

23

4-1



82

Quadro normativo italiano

Disposizioni in materia di professioni non organizzate, Legge n°4, 14/1/20136.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a normetecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cuialla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base dellelinee guida CEN 14 del 20106.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione versol'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali chedisciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano laqualificazione.9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaboranoall'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso lapartecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propricontributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensualità, democraticitàe trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi dicertificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza,imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantitidall'accreditamento di cui al comma 2.



83

La normativa tecnica UNI – UNI 11506

"Attività professionali non regolamentate – Figure professionali operanti nelsettore ICT – Definizione dei requisiti di conoscenza, abilità e competenze»

• Recepisce in toto e-CF 2.0• Ufficializza la traduzione di e-CF 2.0 in italiano• Aggiunge gli elementi necessari per una qualificazione delle competenze:

• §6 Elementi per la valutazione e convalida dei risultatidell'apprendimento (metodi di valutazione e organizzazione che effettuala convalida)

• §7 Aspetti etici e deontologici applicabili



84

La normativa tecnica UNI – UNI 11621



85

La normativa tecnica UNI – UNI 11621-4Profili Professionali relativi alla Sicurezza delle Informazioni



86

UNI – UNI 11621-4


87


88

Contatti e ringraziamenti

UNINFOhttp://www.uninfo.it/

[email protected] Trento 13 - 10129 Torino

Tel. +39 011501027 - Fax +39 011501837

Relatori:

Cesare [email protected]

Graziano [email protected]

Fabio [email protected]

Luciano [email protected]

https://www.facebook.com/UNINFO.it

https://twitter.com/uninfo_it

http://www.slideshare.net/uninfoit


http://www.uninfo.it/

mailto:[email protected]





https://www.facebook.com/UNINFO.it

https://twitter.com/uninfo_it

http://www.slideshare.net/uninfoit

Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

Technology

Transcript of Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere