la sicurezza nel regolamento 679/2016 (gdpr)
TRANSCRIPT
La sicurezza nel GDPR: dall'analisi dei rischi alla disclosure dei data breach.
Alessandro Vallega - Europrivacy, Clusit, Oracle Il nuovo regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza 17 gennaio 2017, Milano
EUROPRIVACY.INFO
@EUROPRIVACY
@EUROPRIVACY
SICUREZZA
32 DEL GDPR
misure tecniche e organizzative adeguate
@EUROPRIVACY
SICUREZZA
32 DEL GDPR
misure tecniche e organizzative adeguate
5 - Principi applicabili al trattamento
24 - Responsabilità del titolare del trattamento
25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
28 - Responsabile del trattamento
(OB
BLI
GO
)
34 - Comunicazione di una violazione dei dati personali all'interessato
(OP
PO
R.)
83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
MISURE ADEGUATE
@EUROPRIVACY
ADEGUATO AL RISCHIO
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
DI NUOVO IL RISCHIO
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
A TITOLO DI ESEMPIO
DI NUOVO IL RISCHIO
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
1 TECNOLOGIA
A TITOLO DI ESEMPIO
DI NUOVO IL RISCHIO
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
@EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
1 TECNOLOGIA
A TITOLO DI ESEMPIO
DI NUOVO IL RISCHIO
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
ADEGUATO AL RISCHIO
MISURE ADEGUATE
REQUISITI
@EUROPRIVACY
Art 32.2 Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Art 32.3 L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
Art. 32.4 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri
ANCORA REQUISITI ANCORA
REQUISITI CODICI DI CONDOTTA CERTIFICA-
ZIONI
@EUROPRIVACY
SICUREZZA
32 DEL GDPR
REQUISITI
DI NUOVO IL RISCHIO
ADEGUATO AL RISCHIO
MISURE ADEGUATE
ANCORA REQUISITI ANCORA
REQUISITI
CODICI DI CONDOTTA
CERTIFICA-ZIONE
REQUISITI REQUISITI
1 TECNOLOGIA
A TITOLO DI ESEMPIO
COSTO DELLE MISURE
EVOLUZIONE TECNOLOGICA
@EUROPRIVACY
SICUREZZA
32 DEL GDPR
1. Bisogna fare
l’analisi del rischio 3. Abbiamo
chiari i
requisiti ma
non le
soluzioni
2. Bisogna
conoscere la
tecnologia di
sicurezza
@EUROPRIVACY
Come ci aiuteranno le certificazioni e i codici di condotta?
Cosa ci chiederanno l’ispettore del Garante e il perito del tribunale in merito alle misure di sicurezza?
@EUROPRIVACY
Loro faranno riferimento ad alcune best practices di sicurezza come:
• Strong / Multilevel / Federated Authentication
• Adaptive / Fine Grained Access Control / Authorization
• Segregation of Duties
• Need to Know / Least Privilege
• Accountability / Log Management
• Encryption
• Anonymization and Pseudinymization
• Segregation of Environment
• Secure Configuration Management
• Hardening
• Attestation & Role Management
@EUROPRIVACY
Noi purtroppo sappiamo che c’è ampio margine di miglioramento nei nostri reparti IT
• Password di gruppo e condivise
• Ampio accesso a produzione, tollerato o previsto
• Copie di produzione per sviluppo e test
• Nessun log o scarso e inefficace, nessuna analisi e alerting
• Niente patching e sistemi operativi obsoleti
• Privilegi eccessivi degli account
• Nessuna cifratura
• Assente controllo accessi
• Gestione frammentaria dell’identità
• Scarsa separazione dei compiti, delle reti e degli ambienti
Il rapporto Clusit sulla Sicurezza ICT in Italia ne descrive gli effetti e le cause.
Nell’edizione del 2016 abbiamo descritto i “Most Common Mistakes” della gestione dei dati nei DBMS
@EUROPRIVACY
DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24)
TEN
ERE
IL “
REG
ISTR
O D
EI T
RA
TTA
MEN
TI”
(AR
T.3
0)
IDEN
TIFI
CA
ZIO
NE
DEL
LE
AP
PLI
CA
ZIO
NI E
DEI
D
ATA
BA
SE GESTIRE LE IDENTITA’
PROTEGGERE I DATI
ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE
VIOLAZIONI ART. 33 / 34)
• INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM)
FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE
DEI DATI ART.35)
• CONTROLLARE I PROFILI AUTORIZ-ZATIVI DEGLI UTENTI / IT E ADMIN
• IMPORRE IL PRINCIPIO DEL “NEED TO KNOW”
• GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD
• RACCOGLIERE E ANALIZZARE I LOG
• INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI
• CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26)
Da dove iniziare per rimediare?
@EUROPRIVACY
DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24)
TEN
ERE
IL “
REG
ISTR
O D
EI T
RA
TTA
MEN
TI”
(AR
T.3
0)
IDEN
TIFI
CA
ZIO
NE
DEL
LE
AP
PLI
CA
ZIO
NI E
DEI
D
ATA
BA
SE GESTIRE LE IDENTITA’
PROTEGGERE I DATI
ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE
VIOLAZIONI ART. 33 / 34)
• INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM)
FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE
DEI DATI ART.35)
• CONTROLLARE I PROFILI AUTORIZZATIVI UTENTI / IT E ADMIN
• IMPORRE IL PRINCIPIO DEL “NEED TO KNOW”
• GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD
• RACCOGLIERE E ANALIZZARE I LOG
• INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI
• CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26)
Da dove iniziare per rimediare?
ALCUNE DELLE MISURE TECNICHE ADEGUATE
ALCUNE DELLE MISURE ORGANIZZATIVE ADEGUATE
@EUROPRIVACY
Approfittiamo del GDPR per fare meglio l’IT
@EUROPRIVACY
Approfittiamo del GDPR per fare meglio l’IT e grazie per l’attenzione
Alessandro Vallega
Twitter U3L4
www.europrivacy.info
Disclaimer: Lavoro in Oracle ma le opinioni espresse in questa presentazione sono le mie...