SlideShare une entreprise Scribd logo

GDPR e sicurezza infoirmatica

M2 Informatica
M2 Informatica

Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari previsti dal nuovo Regolamento Privacy Europeo

Internet
1  sur  25
Télécharger pour lire hors ligne
Ing. Giorgio Montù GDPR Il nuovo Regolamento Privacy Europeo Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari info@consulentiprivacytorino.it – tel 011 19820368
2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
Alcuni dei principali attacchi a livello globale 2016 -2017
Alcuni dei principali attacchi a livello globale 2016 -2017
Alcuni dei principali attacchi a livello globale 2016 -2017 Attacchi a qualcuno che conosciamo bene
Alcuni dei principali attacchi a livello globale 2016 -2017 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
Alcuni dei principali attacchi a livello globale 2016 -2017
Più vicino a noi: UNICREDIT Alcuni dei principali attacchi a livello globale 2016 -2017 MI-GM4
Diapositiva 8 MI-GM4 M2 Informatica - Giorgio Montù; 12/11/2017
Ancora più vicino: MAN IN THE MAIL Alcuni dei principali attacchi a livello globale 2016 -2017 Da Striscia la Notizia: http://www.striscialanotizia.mediaset.it/video/man-in-the-email_23253.shtml MI-GM5
Diapositiva 9 MI-GM5 M2 Informatica - Giorgio Montù; 12/11/2017
In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala ………… MI-GM6
Diapositiva 10 MI-GM6 M2 Informatica - Giorgio Montù; 12/11/2017
D.Lgs. 196/2003 – ancora in vigore Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio datiò - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
Misure minime di sicurezza Cosa succede dal 25 maggio 2018? Il Garante italiano deve ancora fornire linee guida relative all’applicazione delle misure di sicurezza ed eventualmente introdurre nuove misure minime di sicurezza, o mantenere le attuali… Cambierà certamente la modalità di applicazione…
ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non piu’ utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica

Recommandé

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 

Recommandé

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 

Contenu connexe

Tendances

Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 

Tendances (16)

Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACH
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 

Similaire à GDPR e sicurezza infoirmatica

Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 

Similaire à GDPR e sicurezza infoirmatica (20)

Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 

GDPR e sicurezza infoirmatica

  • 1. Ing. Giorgio Montù GDPR Il nuovo Regolamento Privacy Europeo Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari info@consulentiprivacytorino.it – tel 011 19820368
  • 2. 2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
  • 3. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 4. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 5. Alcuni dei principali attacchi a livello globale 2016 -2017 Attacchi a qualcuno che conosciamo bene
  • 6. Alcuni dei principali attacchi a livello globale 2016 -2017 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
  • 7. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 8. Più vicino a noi: UNICREDIT Alcuni dei principali attacchi a livello globale 2016 -2017 MI-GM4
  • 9. Diapositiva 8 MI-GM4 M2 Informatica - Giorgio Montù; 12/11/2017
  • 10. Ancora più vicino: MAN IN THE MAIL Alcuni dei principali attacchi a livello globale 2016 -2017 Da Striscia la Notizia: http://www.striscialanotizia.mediaset.it/video/man-in-the-email_23253.shtml MI-GM5
  • 11. Diapositiva 9 MI-GM5 M2 Informatica - Giorgio Montù; 12/11/2017
  • 12. In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala ………… MI-GM6
  • 13. Diapositiva 10 MI-GM6 M2 Informatica - Giorgio Montù; 12/11/2017
  • 14. D.Lgs. 196/2003 – ancora in vigore Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio datiò - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
  • 15. Misure minime di sicurezza Cosa succede dal 25 maggio 2018? Il Garante italiano deve ancora fornire linee guida relative all’applicazione delle misure di sicurezza ed eventualmente introdurre nuove misure minime di sicurezza, o mantenere le attuali… Cambierà certamente la modalità di applicazione…
  • 16. ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
  • 17. GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
  • 18. GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
  • 19. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
  • 20. GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
  • 21. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non piu’ utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
  • 22. GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
  • 23. GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 24. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 25. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica