EasyShield BU Il nuovo Regolamento privacy UE - Esigenze di adeguamento per le aziende che fanno business in ambito comunitario - The Innovation Group
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
EasyShield BU
Il nuovo Regolamento
privacy UE
Esigenze di adeguamento per le aziende
che fanno business in ambito comunitario
® Gloria Marcoccio
Security BU
27/01/2016
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Privacy UE – Dopo 20 anni si volta pagina
Dicembre 2015 Raggiunto l'accordo finale sul testo del nuovo Regolamento Generale
Europeo sulla protezione dei dati personali
previsto entro
Il Regolamento entra in vigore 20 giorni dopo la sua pubblicazione in
Primavera 2016 GUCE, a seguito della formale approvazione del Parlamento UE in seduta
plenaria
24 mesi di tempo per potersi adeguare
previsto entro Il Regolamento sarà esecutivo, i sistemi aziendali di conformità alla nuova
Primavera 2018 regolamentazione privacy dovranno essere up and running
È il più importante cambiamento per le leggi privacy UE dopo 20 anni dalla direttiva 95/46/EC:
maggiori tutele per le persone
generale innalzamento dei livelli di protezione per i dati personali con l' introduzione di
nuove misure di sicurezza, nuovi adempimenti
previsione di consistenti sanzioni in caso di violazione delle prescrizioni
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Le News del Regolamento in Sintesi
Armonizzazione delle legislazioni e ambito Rafforzati i diritti degli Interessati
ampliato
• Informativa
• Riduzione di oneri amministrativi • Diritti di opposizione
• Ambito territoriale • Portabilità dei dati
• Interesse legittimo • Diritto all’oblio
• One-Stop –Shop • Profiling
Aumento di obblighi Incrementate azioni di enforcement, sanzioni
responsabilità
• Accountability • Diritto a ricorsi verso le Autorità privacy, i
• Consenso, in particolare per il trattamento Titolari, i Responsabili
dati dei minori • Diritto al risarcimento in caso di violazione
• Privacy by Design e by Default del Regolamento da parte di Titolari o
• Privacy Impact Assessment Responsabili
• Prior Consultation • Sanzioni in caso di violazioni
• Notifiche e gestione di Data Breach • Poteri di enforcement delle Autorità privacy
• Data Protection Officer • European Data Protection Board
• Espliciti adempimenti per i Responsabili
Bollino blu privacy Trasferimento di dati extra UE
• Adesione volontaria a Codici di Condotta e • Trasferimenti dati consentiti
Certificazioni a supporto dell'applicazione • Clausole contrattuali standard UE
del Regolamento • Binding Corporate Rules
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Principali Impatti Organizzativi/Procedurali
Attestazione documentata degli adempimenti privacy presi in carico; controllo sui trattamenti
Gestione Accountability effettuati, responsabilità e compiti assegnati, misure di sicurezza implementate
Definizione ed implementazione di piani di gestione e relativa organizzazione e test, utilizzo di
Gestione Data Breach strutture informative per documentare gli eventi di Data Breach, organizzazione e mezzi per
rispettare le tempistiche di legge
PIA (Privacy Impact Definizione ed implementazione di metodi per condurre, documentare e gestire nel tempo le
Assessments) attività di PIA ed eventuali conseguenti Prior Consultation con il Garante Privacy
Misure contrattuali Definizione/Aggiornamenti clausole ed istruzioni, gestione della casistica dei Responsabili in
’cascata’
Titolare-Responsabili
Definizione//Review/Aggiornamenti degli strumenti legali adottati per il trasferimento dati,
Misure contrattuali
contrattualistica conseguente, inventory dei casi di trasferimento in essere
trasferimento dati extra UE
Review/Aggiornamento delle procedure e dei testi per gestione informativa e consensi
Gestione esercizio dei
Procedure integrate per l’esercizio dei diritti nel rispetto delle tempistiche di legge
diritti, consenso informato
Formazione del personale preposto ai trattamenti dati personali
Formazione
Per le aziende che devono prevedere tale figura: assegnazione dei compiti e gestione delle
Data Protection Officer comunicazioni ed operatività previste dal Regolamento
Per le aziende che fanno business in più Stati Membri UE: adozione ed implementazione di
Gestione one-stop-shop procedure per il rapporto con la Lead Privacy Authority
Gestione raccordi Gestione raccordi normativi nei riguardi degli adempimenti D.Lgs 231/01 e coordinamento con
compliance altre compliance aziendali (es. normativa giuslavoristica)
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Principali Impatti Tecnici
• Data Breach:
SERVIZI o Alerting e detection
o Misure ex ante e misure ex post
o Inventory
SISTEMI
• Encryption
• Pseudo-anonimizzazione dei dati
• Misure di controllo accessi
DATI
• Misure tecniche in funzione dei rischi
specifici e valutazione impatti (PIA)
• Meccanismi per la Portabilità dei dati
• Controllo operativo sulla conservazione
temporale dei dati
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Sintesi delle Sanzioni Previste
Amministrative
Fino a 10 milioni di euro, in caso di imprese fino al Fino a 20 milioni di euro, in caso di imprese fino al
2% del fatturato (se superiore a 10 milioni di euro) 4% del fatturato (se superiore a 20 milioni di euro)
Consenso per il caso dei minori Condizioni per espressione e documentazione del
Sicurezza Consenso
Accountability Principi di correttezza e liceità dei trattamenti,
Rispetto dei principi di Privacy by Design e Privacy Diritti degli Interessati (tra cui la Portabilità ed il
by Default Diritto all'oblio)
Prior Consultation del Garante privacy Trasferimenti di dati extra UE
Adempimenti in generale del Titolare del Ordini emessi dal Garante privacy
Responsabile e del Rappresentante (di Titolare non Comunicazione Data Breach agli Interessati
UE) Rispetto di specifici divieti di trattamenti
Data Breach Rispetto degli obblighi per specifici casi di
Privacy Impact Assessment trattamento (es. dati dei lavoratori nel contesto del
Data Protection Officer rapporto di lavoro)
Rispetto delle Certificazioni privacy
Penale
È rimandato agli Stati Membri UE il compito di stabilire le sanzioni penali da applicare
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Linee di intervento essenziali: approccio integrato per gestire
in continuità il passaggio al nuovo Regolamento
Regolamento in vigore: Regolamento diventa esecutivo:
previsto entro Primavera 2016 previsto entro Primavera 2018
Sistema di
Ipotesi di pianificazione a scopo esemplificativo Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 compliance al
(tempistiche in funzione del business e delle dimensioni Regolamento:
dell’Azienda) up and running
Identificazione prescrizioni rilevanti per il ‘profilo
privacy’ dell’Azienda
Assessment e GAP Analysis, progettazione
Accountability
Predisposizione Misure Privacy by Design, Privacy by
Default e Risk Analysis
Predisposizione gestione e misure Data Breach Il Regolamento incide
in modo significativo
Predisposizione metodologia PIA e relativa sulle imprese di tutti i
implementazione settori e richiede un
attenta revisione di
Predisposizione misure contrattuali/istruzioni per quanto in essere ed un
Responsabili, per altre figure e per Trasferimento di pronto adeguamento
dati all’estero
alle nuove misure di
Formazione natura tecnica,
organizzativa e
Predisposizione Misure che riguardano gli Interessati procedurale
(clienti/forza lavoro)
Interventi per rapporti con il Garante Privacy
Integrazione con altre esigenze di compliance
(231/01,…)
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
EasyShield BU
Mettere in atto
il cambiamento:
da reattivo a proattivo
Denis Valter Cassinerio
® Security BU Director
Sales North Director
27/01/2016
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.New «Controls / Technologies»
THREATS LANDSCAPE
• Infected USB sticks
• Infected CD’s/DVS’s
• Infected memory cards
• Infected appliances
• Backdoored IT equipment
PHYSICAL MALWARE INFECTION
T
CYBER
e
ATTACKS
x
JUST
t
AHEAD
INTERNET MALWARE INFECTION EXTERNAL EXPLOITATION
• Drive-by Download • Professional Hacking
• Email Attachment • Mass vulnerability exploits
• File sharing • Co-location Host Exploitation
• Pirated sw& keygen • Cloud Provider penetration
• Spear Phishing • Rogue WiFi prenetration
• DNS & Routing Mods • SmartPhone Bridging
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 8Understand a Cyber Attack
Intrusion kill Chain
Reconnaissance Weaporization Delivery Backdoor Laterla Movement Data Collection Exfiltrate
Only now, after
Coupling a progressing
Research,
remote access through the first
identification and After the
trojan with an Installation of a six phases, can
selection of weapon is
exploit into a remote access intruders take
targets, often Transmission of delivered to
deliverable trojan or Tipically, actions to
represented as the weapon to victim host,
payload, backdoor on the compromised achieve their
crawling internet the targeted exploitation
typically by victim system hosts must original
websites such environment triggers
means of an allows the beacon objectives.
as conference using vectors intruders’ code.
automated tool. adversary to outbound to an Typically this
proceeedings like email Most often,
Increasingly, mantain internet objective is data
and mailing lists attachments, exploitation
client application persistance controller server exfiltration which
for email websites, and tergets an
data dile such as inside the to establish a C2 involves
adresses, social USB removable application or
Adove PDF or environment channel collecting,
relationships, or media operating
Ms Office Docs And esclate encrypting and
information on system
serve as the privileges extracting
specific vulnerability
weaponized information from
technologies
deliverable. the victim
environment
DETECT DENY DISRUPT DEGRADE DECEIVE DESTROY
LEVERAGE; DISCOVER; ANALYZE ATOMIC, COMPUTED AND BEHAVIOR INDICATORS
CAMPAIGN ANALYSIS – TOOLS, TECHNIQUES AND PROCEDURES
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 9«Starting» point
FOUNDATION
• Information Security Management System or Sistema di Gestione della Sicurezza
Informatica
ISMS / SGSI
• Risk Assessment / PIA current situation through methodologies certified
• Certify the «integrated» plan ISO 27001/02/05; 31000, L.196 / GDPR / 231…
• Gap Analysis
• Implementation of policies needed
• Implementation / Controls Adjustment / New controls
• Controls Automation and Continuous Monitoring / Analysis
• Incident Response Plan
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 10Focus Points: understanding a Cyber Attack
Stop the «Kill – Chain»
ALERTING AND DETECTION DATA BREACH
PREVENTIVE MEASURES AND MEASURES EX POST AFTER BREACH
MONITOR ALERT DETECT EX POST
PREVENT
Lateral Data
Recon Weapon Deliver Backdoor Exfiltratate
Movement Collection
Target finding Spear Phishing software control Take User Machine Privilege Escalation Data Collection C&C
and information Vulnerability Payloads Privilege Escalation Data Exfiltration
collect ion C&C
11
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Focus Points : operational implications
ALERTING AND DETECTION DATA BREACH
PREVENTIVE MEASURES AND MEASURES EX POST AFTER BREACH (1/2)
Area Maturity Needs Source Check Output Next Steps
MONITOR Basic • Access • Logs • Controls • IOC • Analysis
• Identity • IAM • SIEM • Visibility
• DB • DAM
• Applications • PAM
• NAC
• SIEM
ALERT Advanced • Event Analysis • Use Cases • Analytics • Investigation • Breach
• Alarms • Controls • Skills Process Notification
• False positives • Logs • SIEM • False Positive • Resolution
• Applications reduction
• Assessment • Mitigation
• Remediation
• Enforcement
DETECT Advanced • Breach • Event • Use Cases • Breach • Incident
Identification Analysis • SIEM Notifcation Handling
• Integrity of • Packet • Investigation
Assets Inspection • Mitigation
• SIEM • C&C • Remediation
Communic • Enforcement
ation
• Endpoint
Sensors
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 12Focus Points : change from Reactive to Proactive
ALERTING AND DETECTION DATA BREACH
PREVENTIVE MEASURES AND MEASURES EX POST AFTER BREACH (2/2)
Area Maturity Needs Source Check Output Next Steps
EX POST Advanced • Log • System Logs • Assess Integrity • Report • Policies
Analisys • Packet Analysis • Source of Attack • Escalation Review
• Low signals • SIEM • Policy Process • Controls
• Forensic Processes • Legal Efficiency
• Responsibilities Impacts • Change
• Economic Management
Impacts • Penalties
THESE AFFECT: OPERATIONS EMPLOYEES LEGAL IMPACTS
PREVENT Next • Preserve • Controls • Assessment • Reduction • Fine tuning
Compliance • Logs • Hethical Hacking of IT Costs • Systems
Generation • Avoid / • Packets • GRC (TCO) Updates
Break Kill • SIEM • SIEM • Avoid • New Features
Chain • GRC • Sandboxing Penalties • Change
• New ctrls • Avoid Management
(DAM/PAM…) Image Vs Situational
disruption Awareness
Security
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 13Gestione Data Breach
Fasi essenziali per il piano di gestione Data Breach
Identificazione incidente e decisione che
trattasi di Data Breach
Azioni di primo contenimento, raccolta
conitnua di informazioni ed analisi
Attività di notifica al Garante (entro 72 ore) e
se necessario agli Interessati (senza
indebito ritardo)
Azioni per completo contenimento della
Data Breach
Chiusura della Data Breach ed azioni
Lesson Learnt
Analisi Rischi/ PIA
Progettazione
misure/ Implementazione,
aggiornamento formazione e
Prescrizioni di ISMS comunicazione
legge/standard
applicabili
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Security Business Unit
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 15Security BU Offering
SOLUTIONS
SERVICES
Compliance CONSULTING
GOVERNANCE
Technology
Managed
Professional
Security
Services
Services
Cyber Security
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Security BU Offering: Compliance
Compliance Risk Assessment
Risk Management, Governance & Certification
Regulatory Compliance Management
Compliance Business Process Re-engineering
Awareness & Training
Audit & Monitoring
COMPLIANCE RISK ASSESSMENT RISK MGMT GOV & CERT REGULATORY COMPL & MGMT BUSINESS PROCESS RENG
• Integrated • COBIT IT Governance
• DLgs 196/03 • DLgs 196/03 Privacy Law
• ISO/IEC 27001 Cert • ITIL Best Practices for IT
• DlLgs 231/01
• ISO 9001 – Quality
• Circ 263/285 BI (Banking)
• ISO 14000 - Environment • DLgs 231/01
• IVASS/ISVAP (Insurance)
manag. systems and AWARNESS & TRAINING
• Solvency II (Insurance)
standards
• ISO 31000 – Cert. about • Sarbanes Oxley Act • Custom Plans
• ISO 18000 (RFID techn.)
Risk Management
• SA 8000
• ISO/IEC 27001 / 27002 / • PCI DSS Credit Card
• ISO 22301 BC
27005 Certification for AUDIT & MONITORING
• CSA STAR – Cloud payment data.
ISMS.
Security • Recurrent Audit
• SOX (Compliance Rep)
• ISO 20000 – Cert.
• PCI DSS - Credit Card • Compliance Maintenance
Service Management
payment data. • Data Breach procedures
Systems
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Global SOC: Security Strategy
Protection of Critical
Infrastructure
Global SOC (Social Infrastructure)
SHIELD
SecurityOperationCenter
Proactive Defense
with Real-time
Analytics and Global
Cyber Security Intelligence Service
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Hitachi Systems Global
Cumulus
2015 - ITALY
Hitachi
2012 – NORTH AMERICA
Systems
2014 - CHINA
Italy
Systems Hitachi
Systems
CBT (Guangzhou)
STRATEGIA
1. Stabilire in Italia la base dell’attività
europea
2. Contribuire al business sulla social
infrastructure di Hitachi Group
3. Espandere il business in tutta l’Europa
2013 – SOUTHEAST ASIA
2015 - CANADA
Hitachi
2014 - INDIA
Sunway
Hitachi
Information Above
Systems
Systems Security
Micro Clinic
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Highlights
+330 6 57MILIONI € 100% 365
PERSONE SEDI DI FATTURATO SECURITY & 24/7
+7% FY 2013 COMPLIANCE SERVIZI
BRANCHES SOFTWARE FACTORY
Bologna
Milano
Venezia HEADQUARTER
Torino Roma
Novara
DATA CENTERS
Roma
Flavio Radice
President of the Board & CEO Milano
“ all our customers will
be free to focus on their
core business only”
OLTRE OLTRE ESPERIENZA
2
1.200 100 >35 DATA
CERTIFICAZIONI PARTNER ANNI CENTER
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Contacts
HEADQUARTER MAIN SITES
MILAN
ROME
Via Dei Gracchi, 7 – 20146
Via Francesco P. Da Cherso, 30 - 00143 +39 02 489571
+39 06 519931
VENICE - QUARTO D’ALTINO
www.hitachi-systems-cbt.com
Via L. Mazzon, 9 – 30020
marketing@hitachi-systems-cbt.com +39 0422 19702
infosecurity@hitachi-systems-cbt.com TURIN
Via Gian Domenico Cassini, 39 - 10129
+39 011 5613567
NOVARA
Via Biandrate, 24 - 28100
+39 0321 670311
BOLOGNA - CASALECCHIO DI RENO
Via Ettore Cristoni, 84 - 40033
+39 051 8550501
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.Superior service empowered by combining the strength
of our people and information technology.Puoi anche leggere
