Slides Igor Serraino torino 2015 smau

29
(c) Riproduzione riservata senza il consenso dell’autore. CSIG MILANO Protezione degli asset aziendali tra sicurezza, privacy e compliance Avv. Andrea Maggipinto, ICT & IP specialist (www.maggipinto.eu) Ing. Igor Serraino, PM & IT consultant (www.serraino.it) 1

Transcript of Slides Igor Serraino torino 2015 smau

Page 1: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Protezione degli asset aziendali tra sicurezza, privacy e compliance

Avv. Andrea Maggipinto, ICT & IP specialist (www.maggipinto.eu)Ing. Igor Serraino, PM & IT consultant (www.serraino.it)

1

Page 2: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

LOCATION OF THE DATA (local laws)

2

Page 3: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

LIVELLO ORGANIZZATIVO E TECNOLOGICO

Responsabile della Protezione dei Dati (Data Protection Officer) La figura è obbligatoria per il settore pubblico e, nel settore privato per un’impresa con 250 o più dipendenti, oppure, quando le attività principali del responsabile del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati. Privacy nel ciclo di vita (Privacy by Design) Attuare concretamente il principio della ‘Privacy by Design' significa che, unitamente all’uso di tecnologie PET (Privacy Enhanced Technology), Privacy e Protezione dei dati sono ‘’assemblate’’ in tutto l'intero ciclo di vita delle tecnologie e dei sistemi di business, dalla fase di individuazione, disegno, progettazione e distribuzione, utilizzo e dismissione. Valutazione di Impatto sulla Protezione dei Dati (Privacy Impact Analysis -PIA) Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali. Notifica delle Violazioni di Accesso ai Dati (Data Breach Notification) Non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare all’autorità di controllo senza ritardo e, quando possibile, entro 24 ore. Quando la violazione rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver notificato all’autorità comunica la violazione all’interessato senza ritardo. Audit di Compliance della Data Protection Prevede 2 aree la Normativa Privacy e l’Organizzazione e il Contesto tecnologico

3

Page 4: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

Rif.

4

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati

(regolamento generale sulla protezione dei dati)

Page 5: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

La rapidità ̀ dell’evoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali

La tecnologia attuale consente alle imprese private quanto alle autorità ̀ pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività ̀ e, sempre più̀ spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano.

Le nuove tecnologie hanno trasformato non solo l’economia ma anche le relazioni sociali e impongono che si faciliti ancora di più̀ la libera circolazione dei dati all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali; al tempo stesso, però, occorre garantire un elevato livello di protezione dei dati personali.

5

Page 6: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

È necessario applicare i principi di protezione a tutte le informazioni relative ad una persona identificata o identificabile.

Per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare detta persona.

Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l’identificazione dell’interessato.

6

Page 7: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

La nuova figura del Privacy Officer

Il Privacy Officer, o Consulente della Privacy, è una nuova figura professionale alla quale sono richieste sia competenze giuridiche che informatiche

Ruolo: organizzare nel modo più opportuno la gestione e tutela dei dati personali all’interno di un’azienda, nel rispetto della normativa vigente.

L’obbligo di introdurre tale figura è previsto nel settore pubblico e, nel settore privato, per le grandi imprese o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati (art. 35).

7

Page 8: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

La nuova figura del Privacy Officer: compiti

controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati;

controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;

fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

8

Page 9: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

«Privacy by Design»

Nuovo approccio concettuale alla privacyStrutturata in 3 azioni e 7 principi fondamentali

3 azioni

Tecnologia dell'informazionePratiche commerciali responsabiliProgettazione delle strutture.

9

Page 10: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

«Privacy by Design»

7 principi fondamentali

atteggiamento proattivo e non reattivoprevenzione e non rimedioprivacy by defaultprivacy incorporata nell'architetturacompleta funzionalità – positive sum (es. mutually beneficial gains from trade

in goods and services between nations), not zero sum (se io guadagno, qualcun altro sta perdendo)

protezione per l'intero ciclo vitale delle informazionivisibilità e trasparenzarispetto della riservatezza dell'utente.

10

Page 11: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

«Privacy by Design»

Si può immaginare, ad esempio, il contesto della videosorveglianza per la quale, salvaguardando l'esigenza di sicurezza e al contempo di privacy degli individui, si adottano in concreto delle soluzioni tecnologiche tali da evitare rischi per la perdita di dati o per la riservatezza delle persone.

Altro riferimento può essere quello che riguarda la progettazione degli ambienti in cui spesso le informazioni personali vengono ascoltate da chi ci è vicino all'interessato (il caso di un soggetto che in un ufficio pubblico o in un ospedale riferisce informazioni personali che sono ascoltate da chi gli è vicino).

Gli investimenti che le aziende fanno sulla privacy vanno considerati come un valore aggiunto e non come un costo improduttivo.

L'approccio della PbD va inteso come un processo che non abbia il suo fulcro nel dato normativo, ma piuttosto nella concreta tutela dei dati personali, ponendo al centro unicamente l'individuo.

11

Page 12: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Privacy Impact Analysis - PIA

Effettuata dal Responsabile del Trattamento

12

http://www.oaic.gov.au

Page 13: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Privacy Impact Analysis - PIA

Se correttamente effettuata, aumenta le possibilità di successo di un progetto complesso

• Assicura il rispetto della normativa• Include risk analysis• manage any negative

privacy impacts• avoid costly or embarrassing

privacy mistakes.

13

Page 14: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Data Breach Notification

Art. 31 - Notificazione di una violazione dei dati personali all’autorità di controllo

In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.

In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamente dopo aver accertato la violazione.

14

Page 15: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Data Breach Notification

La notificazione di cui al paragrafo 1 deve come minimo:a) descrivere la natura della violazione dei dati personali, compresi le categorie e

il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b) indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d) descrivere le conseguenze della violazione dei dati personali;e) descrivere le misure proposte o adottate dal responsabile del trattamento per

porre rimedio alla violazione dei dati personali..

15

Page 16: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Data Breach Notification

L'autorità di controllo tiene un registro pubblico delle tipologie di violazioni notificate. (in linea con la nuova direttiva relativa agli attacchi contro i sistemi di informazione)

PRIMAServe a prevenire per quanto possibile gli incidenti

DOPOServe rilevare gli incidentiServe poter e saper documentare gli incidentiServe sapere come rispondere (reagire) agli incidenti

16

Page 17: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Data Breach Notification

L'autorità di controllo tiene un registro pubblico delle tipologie di violazioni notificate. (in linea con la nuova direttiva relativa agli attacchi contro i sistemi di informazione)

PRIMAServe a prevenire per quanto possibile gli incidenti

DOPOServe rilevare gli incidentiServe poter e saper documentare gli incidentiServe sapere come rispondere (reagire) agli incidentiServe a limitare i danni (mettendo l’interessato in condizione di difendersi e

reagire all’incidente)Serve tutelarsi dalle azioni legali e richieste di risarcimentoServe sapere come gestire la notizia e prevenire danni alla reputazione

17

Page 18: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Audit di Compliance della Data Protection

“A systematic and independent examination to determine whether activities involving the processing of personal data are carried out in accordance with an organisation’s data protection policies and procedures, and whether this processing meets the requirements of the [law].” UK Information Commissioner’s Office

Assess compliance with the lawAssess compliance with entities’ own policies and proceduresAssess gaps and weaknessesProvide information to ensure complianceEnsure awarenessMinimize risk

18

Page 19: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

USE CASE: ISO 27001

19

Page 20: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Nuovi modelli di processo

• Ad oggi è sempre maggiore la % di aziende che ha già intrapreso percorsi di rinnovamento IT, basati su modelli di processo e metodologie moderne

• Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul prodotto finito e sui processi manifatturieri

• Raggiungere l’obiettivo (adeguati standard qualitativi) significava seguire una strada decisamente tortuosa

• Eccessiva formalità delle norme da applicare• Vocabolario oscuro• Eccessiva burocrazia• Mancanza di strumenti informatici adeguati e costi ancora troppo

elevati

Page 21: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

L’avvento dell’informatizzazione

• Pervasività delle nuove tecnologie• Progressiva sostituzione del cartaceo con il digitale• Riduzione delle risorse temporali che l’azienda deve

dedicare al perseguimento degli obiettivi• Integrazione del sistema di qualità con gli strumenti

hardware e software già presenti in azienda• Progressivo cambio generazionale degli addetti al

backoffice

Page 22: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Il concetto di servizio e l’informatica

Fornire un servizio: soddisfare i bisogni e le aspettative dell’utilizzatore

•Necessario disaccoppiare il concetto di qualità di un servizio dal costo che il cliente/utilizzatore deve pagare per ottenerlo•Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel concetto di qualità un fattore di successo•Il processo produttivo o di erogazione del servizio riveste un ruolo fondamentale nel garantire adeguati livelli di qualità•L’informatica rappresenta uno strumento , non una garanzia assoluta di successo

Page 23: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Ruolo del sistema informativo nell'erogazione del servizio

L'utente richiede un servizio oun prodotto

Servizioo

prodotto

Sistemainformativo

Strutture organizzative

Sistema informatico

Supporta, fornisce strumenti

Utilizza

Page 24: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

ISO: International Organization for Standardization

• La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o processo di ottemperare a requisiti di clienti o di altre parti interessate

• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto porta garanzia di una progettazione e realizzazione del sistema informativo di qualità garantendone inoltre il controllo.

•UNI EN ISO 9000:2005 (Sistemi di gestione per la qualità – Fondamenti e terminologia)

Descrive I fondamenti dei sistemi di gestione per la qualità (intesi come modelli di management) e specifica il Dizionario della qualità

UNI EN ISO 9001:2008 (Sistemi di gestione per la qualità – Requisiti)

Indica I requisiti di un SGQ – Sistema di Gestione per la Qualità (da intendersi come modello di management) ed è propedeutica anche al conseguimento della certificazione di qualità

UNI EN ISO 9004:2008 (Sistemi di gestione per la qualità – Linee guida per il miglioramento delle prestazioni)

Fornisce gli orientamenti per il miglioramento continuo della performance dell’organizzazione

ISO/IEC 27001:2005 (Requisiti di un sistemi di gestione della Sicurezza delle informazioni)

The ISO27k (ISO/IEC 27000-series) standards concern the protection of valuable information assets through information security, particularly the use of Information Security Management Systems (ISMSs).

Page 25: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

L’integrazione con la ISO9001:2008

• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto porta garanzia di una progettazione e realizzazione del sistema informativo, ma anche dei processi interni dell’azienda stessa, di qualità garantendone inoltre il controllo.

• Disporre di un sistema di qualità è fattore di successo per l’implementazione della norma ISO 27001. La possibilità di utilizzare misure di controllo provenienti dai processi stessi è un ulteriore fattore da non sottovalutare.

Page 26: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Information Security Management System

• L’obiettivo di un ISMS (Information Security Management System) è quello di realizzare una serie di routines mirate al security control che permettano di garantire un livello di protezione delle informazioni ADEGUATO al contesto aziendale, sia dal punto di vista interno che da quello del cliente

• La norma certifica le linee guida e gli strumenti a disposizione per arrivare al risultato atteso

Page 27: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

Standard ISO 27001:2005

• The standard is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties including an organization’s customers and suppliers.

• Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza, la disponibilità e autenticità.

• Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni finalizzato ad una corretta gestione dei dati aziendali soggetti a tutela.

Security

Tutela personali, sensibili, giudiziari

Contesto privacy

Contesto 27001Componenti di

business

Page 28: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

L’azienda ISO/IEC 27001 compliant

• Possiede un’architettura hardware, software, gestionale (comprehensive framework) su cui sviluppare e implementare politiche di gestione della sicurezza

• Risk-based approach: il modello di ISMS generato durante i vari steps è fortemente contestualizzato alla realtà aziendale.

• Gestione delle risorse umane: il modello proposto permette di assicurarsi che figure professionali dalle competenze adeguate siano allocate alla gestione delle aree critiche

• Completa protezione delle informazioni, dal punto di vista dei tre canoni fondamentali: riservatezza, integrità, disponibilità.

• L’ISMS è qualitativamente allineato a sistemi gestionali standard come le ISO9001.• Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa e

delle regole previste• Aumento della competitività aziendale: la certificazione garantisce alla clientela che

la sicurezza delle loro informazioni personali non è in discussione

• Attestazione di impegno assoluto e di impiego di risorse per risolvere e gestire problematiche inerenti la sicurezza

Page 29: Slides Igor Serraino torino 2015 smau

(c) Riproduzione riservata senza il consenso dell’autore.

CSIG MILANO

[email protected] [email protected]