slides igor serraino torino 2015 smau
TRANSCRIPT
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Protezione degli asset aziendali tra sicurezza, privacy e compliance
Avv. Andrea Maggipinto, ICT & IP specialist (www.maggipinto.eu)Ing. Igor Serraino, PM & IT consultant (www.serraino.it)
1
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
LOCATION OF THE DATA (local laws)
2
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
LIVELLO ORGANIZZATIVO E TECNOLOGICO
Responsabile della Protezione dei Dati (Data Protection Officer) La figura è obbligatoria per il settore pubblico e, nel settore privato per un’impresa con 250 o più dipendenti, oppure, quando le attività principali del responsabile del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati. Privacy nel ciclo di vita (Privacy by Design) Attuare concretamente il principio della ‘Privacy by Design' significa che, unitamente all’uso di tecnologie PET (Privacy Enhanced Technology), Privacy e Protezione dei dati sono ‘’assemblate’’ in tutto l'intero ciclo di vita delle tecnologie e dei sistemi di business, dalla fase di individuazione, disegno, progettazione e distribuzione, utilizzo e dismissione. Valutazione di Impatto sulla Protezione dei Dati (Privacy Impact Analysis -PIA) Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali. Notifica delle Violazioni di Accesso ai Dati (Data Breach Notification) Non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare all’autorità di controllo senza ritardo e, quando possibile, entro 24 ore. Quando la violazione rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver notificato all’autorità comunica la violazione all’interessato senza ritardo. Audit di Compliance della Data Protection Prevede 2 aree la Normativa Privacy e l’Organizzazione e il Contesto tecnologico
3
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
Rif.
4
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati)
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
La rapidità ̀ dell’evoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali
La tecnologia attuale consente alle imprese private quanto alle autorità ̀ pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività ̀ e, sempre più̀ spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano.
Le nuove tecnologie hanno trasformato non solo l’economia ma anche le relazioni sociali e impongono che si faciliti ancora di più̀ la libera circolazione dei dati all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali; al tempo stesso, però, occorre garantire un elevato livello di protezione dei dati personali.
5
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
È necessario applicare i principi di protezione a tutte le informazioni relative ad una persona identificata o identificabile.
Per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare detta persona.
Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l’identificazione dell’interessato.
6
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
La nuova figura del Privacy Officer
Il Privacy Officer, o Consulente della Privacy, è una nuova figura professionale alla quale sono richieste sia competenze giuridiche che informatiche
Ruolo: organizzare nel modo più opportuno la gestione e tutela dei dati personali all’interno di un’azienda, nel rispetto della normativa vigente.
L’obbligo di introdurre tale figura è previsto nel settore pubblico e, nel settore privato, per le grandi imprese o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati (art. 35).
7
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
La nuova figura del Privacy Officer: compiti
controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati;
controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.
8
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
«Privacy by Design»
Nuovo approccio concettuale alla privacyStrutturata in 3 azioni e 7 principi fondamentali
3 azioni
Tecnologia dell'informazionePratiche commerciali responsabiliProgettazione delle strutture.
9
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
«Privacy by Design»
7 principi fondamentali
atteggiamento proattivo e non reattivoprevenzione e non rimedioprivacy by defaultprivacy incorporata nell'architetturacompleta funzionalità – positive sum (es. mutually beneficial gains from trade
in goods and services between nations), not zero sum (se io guadagno, qualcun altro sta perdendo)
protezione per l'intero ciclo vitale delle informazionivisibilità e trasparenzarispetto della riservatezza dell'utente.
10
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
«Privacy by Design»
Si può immaginare, ad esempio, il contesto della videosorveglianza per la quale, salvaguardando l'esigenza di sicurezza e al contempo di privacy degli individui, si adottano in concreto delle soluzioni tecnologiche tali da evitare rischi per la perdita di dati o per la riservatezza delle persone.
Altro riferimento può essere quello che riguarda la progettazione degli ambienti in cui spesso le informazioni personali vengono ascoltate da chi ci è vicino all'interessato (il caso di un soggetto che in un ufficio pubblico o in un ospedale riferisce informazioni personali che sono ascoltate da chi gli è vicino).
Gli investimenti che le aziende fanno sulla privacy vanno considerati come un valore aggiunto e non come un costo improduttivo.
L'approccio della PbD va inteso come un processo che non abbia il suo fulcro nel dato normativo, ma piuttosto nella concreta tutela dei dati personali, ponendo al centro unicamente l'individuo.
11
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Privacy Impact Analysis - PIA
Effettuata dal Responsabile del Trattamento
12
http://www.oaic.gov.au
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Privacy Impact Analysis - PIA
Se correttamente effettuata, aumenta le possibilità di successo di un progetto complesso
• Assicura il rispetto della normativa• Include risk analysis• manage any negative
privacy impacts• avoid costly or embarrassing
privacy mistakes.
13
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Data Breach Notification
Art. 31 - Notificazione di una violazione dei dati personali all’autorità di controllo
In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.
In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamente dopo aver accertato la violazione.
14
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Data Breach Notification
La notificazione di cui al paragrafo 1 deve come minimo:a) descrivere la natura della violazione dei dati personali, compresi le categorie e
il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;
b) indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;
d) descrivere le conseguenze della violazione dei dati personali;e) descrivere le misure proposte o adottate dal responsabile del trattamento per
porre rimedio alla violazione dei dati personali..
15
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Data Breach Notification
L'autorità di controllo tiene un registro pubblico delle tipologie di violazioni notificate. (in linea con la nuova direttiva relativa agli attacchi contro i sistemi di informazione)
PRIMAServe a prevenire per quanto possibile gli incidenti
DOPOServe rilevare gli incidentiServe poter e saper documentare gli incidentiServe sapere come rispondere (reagire) agli incidenti
16
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Data Breach Notification
L'autorità di controllo tiene un registro pubblico delle tipologie di violazioni notificate. (in linea con la nuova direttiva relativa agli attacchi contro i sistemi di informazione)
PRIMAServe a prevenire per quanto possibile gli incidenti
DOPOServe rilevare gli incidentiServe poter e saper documentare gli incidentiServe sapere come rispondere (reagire) agli incidentiServe a limitare i danni (mettendo l’interessato in condizione di difendersi e
reagire all’incidente)Serve tutelarsi dalle azioni legali e richieste di risarcimentoServe sapere come gestire la notizia e prevenire danni alla reputazione
17
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Audit di Compliance della Data Protection
“A systematic and independent examination to determine whether activities involving the processing of personal data are carried out in accordance with an organisation’s data protection policies and procedures, and whether this processing meets the requirements of the [law].” UK Information Commissioner’s Office
Assess compliance with the lawAssess compliance with entities’ own policies and proceduresAssess gaps and weaknessesProvide information to ensure complianceEnsure awarenessMinimize risk
18
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
USE CASE: ISO 27001
19
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Nuovi modelli di processo
• Ad oggi è sempre maggiore la % di aziende che ha già intrapreso percorsi di rinnovamento IT, basati su modelli di processo e metodologie moderne
• Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul prodotto finito e sui processi manifatturieri
• Raggiungere l’obiettivo (adeguati standard qualitativi) significava seguire una strada decisamente tortuosa
• Eccessiva formalità delle norme da applicare• Vocabolario oscuro• Eccessiva burocrazia• Mancanza di strumenti informatici adeguati e costi ancora troppo
elevati
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
L’avvento dell’informatizzazione
• Pervasività delle nuove tecnologie• Progressiva sostituzione del cartaceo con il digitale• Riduzione delle risorse temporali che l’azienda deve
dedicare al perseguimento degli obiettivi• Integrazione del sistema di qualità con gli strumenti
hardware e software già presenti in azienda• Progressivo cambio generazionale degli addetti al
backoffice
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Il concetto di servizio e l’informatica
Fornire un servizio: soddisfare i bisogni e le aspettative dell’utilizzatore
•Necessario disaccoppiare il concetto di qualità di un servizio dal costo che il cliente/utilizzatore deve pagare per ottenerlo•Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel concetto di qualità un fattore di successo•Il processo produttivo o di erogazione del servizio riveste un ruolo fondamentale nel garantire adeguati livelli di qualità•L’informatica rappresenta uno strumento , non una garanzia assoluta di successo
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Ruolo del sistema informativo nell'erogazione del servizio
L'utente richiede un servizio oun prodotto
Servizioo
prodotto
Sistemainformativo
Strutture organizzative
Sistema informatico
Supporta, fornisce strumenti
Utilizza
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
ISO: International Organization for Standardization
• La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o processo di ottemperare a requisiti di clienti o di altre parti interessate
• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto porta garanzia di una progettazione e realizzazione del sistema informativo di qualità garantendone inoltre il controllo.
•UNI EN ISO 9000:2005 (Sistemi di gestione per la qualità – Fondamenti e terminologia)
Descrive I fondamenti dei sistemi di gestione per la qualità (intesi come modelli di management) e specifica il Dizionario della qualità
UNI EN ISO 9001:2008 (Sistemi di gestione per la qualità – Requisiti)
Indica I requisiti di un SGQ – Sistema di Gestione per la Qualità (da intendersi come modello di management) ed è propedeutica anche al conseguimento della certificazione di qualità
UNI EN ISO 9004:2008 (Sistemi di gestione per la qualità – Linee guida per il miglioramento delle prestazioni)
Fornisce gli orientamenti per il miglioramento continuo della performance dell’organizzazione
ISO/IEC 27001:2005 (Requisiti di un sistemi di gestione della Sicurezza delle informazioni)
The ISO27k (ISO/IEC 27000-series) standards concern the protection of valuable information assets through information security, particularly the use of Information Security Management Systems (ISMSs).
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
L’integrazione con la ISO9001:2008
• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto porta garanzia di una progettazione e realizzazione del sistema informativo, ma anche dei processi interni dell’azienda stessa, di qualità garantendone inoltre il controllo.
• Disporre di un sistema di qualità è fattore di successo per l’implementazione della norma ISO 27001. La possibilità di utilizzare misure di controllo provenienti dai processi stessi è un ulteriore fattore da non sottovalutare.
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Information Security Management System
• L’obiettivo di un ISMS (Information Security Management System) è quello di realizzare una serie di routines mirate al security control che permettano di garantire un livello di protezione delle informazioni ADEGUATO al contesto aziendale, sia dal punto di vista interno che da quello del cliente
• La norma certifica le linee guida e gli strumenti a disposizione per arrivare al risultato atteso
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
Standard ISO 27001:2005
• The standard is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties including an organization’s customers and suppliers.
• Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza, la disponibilità e autenticità.
• Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni finalizzato ad una corretta gestione dei dati aziendali soggetti a tutela.
Security
Tutela personali, sensibili, giudiziari
Contesto privacy
Contesto 27001Componenti di
business
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO
L’azienda ISO/IEC 27001 compliant
• Possiede un’architettura hardware, software, gestionale (comprehensive framework) su cui sviluppare e implementare politiche di gestione della sicurezza
• Risk-based approach: il modello di ISMS generato durante i vari steps è fortemente contestualizzato alla realtà aziendale.
• Gestione delle risorse umane: il modello proposto permette di assicurarsi che figure professionali dalle competenze adeguate siano allocate alla gestione delle aree critiche
• Completa protezione delle informazioni, dal punto di vista dei tre canoni fondamentali: riservatezza, integrità, disponibilità.
• L’ISMS è qualitativamente allineato a sistemi gestionali standard come le ISO9001.• Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa e
delle regole previste• Aumento della competitività aziendale: la certificazione garantisce alla clientela che
la sicurezza delle loro informazioni personali non è in discussione
• Attestazione di impegno assoluto e di impiego di risorse per risolvere e gestire problematiche inerenti la sicurezza
(c) Riproduzione riservata senza il consenso dell’autore.
CSIG MILANO