Come pianificare gli

investimenti tecnologici.

Come pianificare gli investimenti tecnologici.

Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed

il conseguente investimento in tecnologia,

è un’opportunità necessità

Risponde ad una esigenza non più procrastinabile: quella di proteggere le

informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta

disponibilità (virtualizzazione, mobile, cloud).

Da dove si inizia?

Hardware e Software installati

Dove risiedono i dati?

Come funzionano autorizzazioni ed autenticazioni

Come gestisco la posta elettronica

E’ utilizzato il mobile? Ed è autorizzato?

Che tipo controlli o alerts sono attivati

Come stanno funzionando le misure di Sicurezza?

Come mantengo aggiornato il tutto?

ANALISI

In concreto:

Gli investimenti tecnologici servono:

Per gestire un rischio

Per aumentare la disponibilità

dell’informazione

L’analisi è utile per programmare gli investimenti tecnologici

Come gestire al meglio le risorse informatiche

aziendali, garantirne il massimo utilizzo ed

un'adeguata protezione.

DISPONIBILITÀ vs PROTEZIONE

Gestire in maniera diversa dati diversi

Attivando i giusti alerts e controlli…

Conoscenze dell’azienda, della normativa e della tecnologia.

Il business si sviluppa con la DISPONIBILITA’ DEL DATO

si difende con la PROTEZIONE.

Da obbligo ad opportunità

Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle

responsabilità (ACCOUNTABILITY)

Conoscenza/ analisi

Investimento tecnologico MIRATO

Crescita business

Conformità

Responsabilità globale del Titolare, denominata «Accountability»

Le nuove disposizioni dettano l’obbligo di Responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l’adozione di politiche interne e meccanismi per garantirne tale rispetto»

Da forma a sostanza attraverso l’attuazione del principio della protezione dei dati «by design»

Valutazione di impatto sulla protezione dei dati

Accountability Principio di Trasparenza

Come rimanere a norma tra obbligo di

sicurezza e necessità di controllo.

L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori)

Art. 4. Impianti audiovisivi.

1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanzadell'attività dei lavoratori.

2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative eproduttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo adistanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con lerappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. Indifetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, oveoccorra, le modalità per l'uso di tali impianti.

3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondocomma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con lacommissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore dellapresente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degliimpianti suddetti.

4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, ildatore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissioneinterna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giornidalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.

RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY

«ART. 4. Impianti audiovisivi e altri strumenti di controllo.

Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196».

Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende.

Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività

ed efficienza, che deve però essere associato ad una policy aziendale precisa e

condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a

distanza del lavoratore, ma che possa dare più tutela all’azienda.

Nuovo Art. 4 in sintesi…

Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.

Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che

riguardano la Normativa ed

i suoi successivi provvedimenti.

Alcuni esempi:

Disaster Recovery Plan Mobile Posta elettronica Cloud DLP

Best practices

Backup o Disaster Recovery

Disaster Recovery Plan

Si intende l’insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati e infrastrutture necessarie a seguito di emergenze che ne intacchino la regolare attività.

RTO: Recovery Time Objective RPO: Recovery Point Objective

Best practices Disaster Recovery Plan

Passaggi essenziali: Dove sono i dati Verifica del backup Simulazione in caso di disastro

Quale disastro/incidente?Non solo eventi catastrofici ma anche perdita volontaria o accidentale, errori umani…

Per ogni incidente si registra una reazione

Nota Bene:Il DRP è una prerogativa obbligatoria e sarà ancora più importante nel Nuovo Regolamento Europeo – (concetto Data Breach)

Da OBBLIGO a NECESSITA’

Best practices Data Loss Prevention

Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e

prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.

Antivirus?

Anti-malware?Non sono più sufficienti

Controlli ed Alerts

Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.

Best practices Posta elettronica

Tutela del lavoratore e tutela dell’azienda:Dalla Normativa:Confidenzialità: Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata.In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza

Policy:

Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in

modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a

disposizione ritenute corrette e se, in che misura e con quali modalità vengano

effettuati controlli.

Best practices Posta elettronica

Le aziende oltre a stabilire Policy di comportamento devono poi cambiare

approccio tecnologico differenziando

Backup da Archiviazione.

Quanti dipendenti hanno la posta

elettronica aziendale configurata sul

loro smartphone personale?

Siete sicuri di saperlo precisamente?

Ne AVETE LA CERTEZZA?

Best practices Mobile

Quali informazioni transitano dal Mobile?

Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)

Best practices Mobile

(Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%)

1. Eterogeneità delle caratteristiche tecnologiche2. Vulnerabilità tecniche3. Comportamenti non idonei e non consapevolezza4. BYOD – promiscuità dei dati personali e aziendali5. Difficoltà di controllo su utilizzo e raccolta dati(fotocamera)6. Elevata probabilità di furto o perdita7. Mancanza di preliminare analisi dei rischi8. Mancanza di procedure di incident handling9. Non analisi dei trattamenti effettuati10. Non applicazione delle misure minime di sicurezza

Best practices Cloud

Quadro normativo

Il cloud computing ha diverse implicazioni sotto il profilo giuridico.

Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico.

Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate.

In questo complesso quadro, la valutazione deve tenere conto:

Codice in materia di protezione dei dati personali

Linee guida del Garante e successivi provvedimenti

Regolamento Europeo

nuova ISO/IEC 27018:2014

Best practices Cloud

Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato «Proteggere i dati per non cadere dalle nuvole»

EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL

FORNITORE

PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ

DEI DATI

ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI

NECESSITÀ

SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA

NON PERDERE DI VISTA I DATI

INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I

DATI

ATTENZIONE ALLE CLAUSOLE CONTRATTUALI

VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI

ESIGERE ADEGUATE MISURE DI SICUREZZA

FORMARE ADEGUATAMENTE IL PERSONALE

Quadro normativo – Linee guida del Garante

Best practices Cloud

In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da

parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento;

fornitore e cliente sono entrambi titolari.

Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di

informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla

allora di due distinte figure con compiti precisi differenti.

E il fornitore di servizio cloud … qual è il suo ruolo?

Importante:

In caso di violazioni commesse dal provider anche il

titolare del trattamento dovrà rispondere di un

eventuale illecito.

Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità

imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e

possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’

compito del titolare valutare coloro che offrano maggiori garanzie circa il

rispetto della normativa sulla protezione dei dati personali.

Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.

10 Step Action Plan

Lo fa per voi

Polaris Informatica SRLVia XXIV Maggio n° 28/cTel 0524 81189Mail: privacy@polaris.it

Daniele Gombi