GDPR, NUOVO REGOLAMENTO PRIVACY UE E TU, SEI A NORMA? - Linee Guida, Azioni e Rischi - Soteha
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
GDPR, NUOVO REGOLAMENTO PRIVACY UE … E TU, SEI A NORMA?
Linee Guida, Azioni e Rischi
GDPR 679/2018
Si applica dal 25 maggio 2018: due anni per adeguarsi: già fatto?
• SI APPLICA AI DATI RELATIVI A PERSONE FISICHE
➢ “interessato” che si trovi nella UE, a prescindere dalla nazionalità
• NON SI APPLICA AI DATI RELATIVI A PERSONE GIURIDICHE
➢ compresi i dati di contatto (c.14)
• NON SI APPLICA
➢ Ai dati trattati per attività personale/domestica
3
NOVITA’
• INFORMATIVA (art. 13)
• DATA PROTECTION OFFICER (art 37-39)
➢ Organo di garanzia interno all’azienda
• ACCOUNTABILITY (art 24)
➢ Responsabilizzazione e obbligo di prova
• REGISTRO DEI TRATTAMENTI (art 30)
➢ Obbligo di tenere un registro dei trattamenti svolti
• VALUTAZIONE DI IMPATTO (art 35)
➢ Obbligo di valutare preliminarmente l’impatto dei trattamenti sulla privacy
• DATA BREACHES (art 33)
➢ Obbligo di notifica delle violazioni al Garante e all’interessato
• PRIVACY BY DESIGN E BY DEFAULT (art 25)
➢ Obbligo di protezione fin dall’origine e garantire la privacy con impostazioni pre-definite
• CERTIFICAZIONE (art 42)
➢ Riconoscimento di conformità al Regolamento
4
INFORMATIVA ART.13
• Dati di contatto del DPO (ove applicabile)
• Le finalità e la base giuridica – Vietate finalità non dichiarate. Finalità successive diverse,
richiedono una preventiva integrazione-
• Le categorie dei destinatari a cui i dati vengono ceduti
• L’intenzione di trasferire i dati extra UE e le garanzie adottate.
• Il periodo di conservazione o i criteri per determinarlo
• Il diritto di accesso ai dati e alla portabilità dei dati
• Il diritto di revocare il consenso
• Il diritto di proporre reclamo al Garante
• conferimento
• L’esistenza di un processo decisionale automatizzato o di profilazione, la logica utilizzata e le
conseguenze per l’interessato
REVISIONE E ADEGUAMENTO DELLE INFORMATIVE PRECEDENTI
5
DATA PROTECTION OFFICER ART.37-39
• NUOVA CATEGORIA PROFESSIONALE
➢ Figura di Garanzia Aggiuntiva interna all’Azienda
➢ Diversa dal Responsabile del trattamento e dal Compliance Manager
• CHI E’ OBBLIGATO A NOMINARLO
➢ Il Titolare e il Responsabile
• QUANDO E’ OBBLIGATORIA LA NOMINA
➢ Enti Pubblici
➢ Privati - Quando le attività principali consistono:
✓ Trattamenti che per loro natura, ambito di applicazione e/o
finalità richiedono il monitoraggio regolare e sistematico di
interessati su larga scala,
Oppure
✓ Trattamento su larga scala di “dati particolari” o “dati “penali”
6
ACCOUNTABILITY ART. 24
Onere della prova a carico del il titolare
di dimostrare di aver adottato misure tecniche ed organizzative adeguate
➢ DARE DIMOSTRAZIONE
✓ Essere in grado di dimostrare che i trattamenti avvengono in conformità al
Regolamento
➢ AGGIORNARE
✓ Verificare periodicamente le misure e aggiornarle
7
REGISTRO DEI TRATTAMENTI ART. 30
• CHI E’ OBBLIGATO
➢ il Titolare e anche il Responsabile
• IN COSA CONSISTE
➢ Un Registro delle attività di trattamento in forma scritta anche elettronica:
➢ A disposizione del Garante
• COSA DEVE CONTENERE
➢ Quadro di Censimento e di sintesi: Nome del Titolare (o del Responsabile e del
Titolare per cui si agisce) Descrizione delle attività effettuate dal Titolare (o per conto
del Titolare), Finalità, Categorie dei dati, Destinatari dei dati, Misure di sicurezza
adottate, Termini per la cancellazione dei dati, Destinatari extra UE e loro misure di
garanzia ...
• ECCEZIONI ESTREMAMENTE LIMITATE
➢ Non applicabile < 250 dipendenti a meno che :
✓ il trattamento non sia occasionale, includa “dati particolari” o possa provocare
rischi per diritti e libertà degli interessati,
Simil DPS – assegnazione compito a struttura per gestione e aggiornamento
8
VALUTAZIONE DI IMPATTO ART. 35
Trattamento che presenti un rischio elevato per i diritti e le libertà delle persone fisiche, in
particolare:
- Profilazione
- Trattamento su larga scala di dati particolari
- Sorveglianza su larga scala di una zona accessibile al pubblico
9
VIOLAZIONE DEI DATI ART.33
• CHI E’ OBBLIGATO
➢ il Titolare e il Responsabile deve avvisare il Titolare se ne è venuto a conoscenza
QUANDO
➢ Si verifica una violazione dei dati personali:
IN QUALI TERMINI:
• Senza giustificato ritardo ed entro 72 ore
A CHI SI NOTIFICA
• AL GARANTE
• ALL’INTERESSATO
• ECCEZIONI DI DUBBIA INTERPRETAZIONE
➢ A meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le
libertà delle persone
➢ Nel caso in cui i dati siano cifrati
➢ Altre ipotesi
10PRIVACY BY DESIGN/BY DEFAULT- art 25
• CHI E’ OBBLIGATO
➢ Titolare
• SCOPO
➢ Garantire i diritti degli interessati fin dalla progettazione e attraverso impostazioni predefinite
➢ Privacy & Sicurezza garantite di default nel disegno del prodotto/servizio
• COSA DEVE ESSERE FATTO- dare dimostrazione di
➢ Risk assessment in fase di progettazione e sviluppo di prodotti/servizi/applicazioni
➢ Adottare misure tecniche e organizzative nonché procedure “adeguate”
➢ Adottare meccanismi predefiniti per garantire che, di default:
✓ siano trattati solo i dati necessari per ciascuna finalità: Minimizzazione Pseudonimizzazione,
✓ non siano accessibili a un numero indeterminato di persone,
✓ siano conservati non oltre il tempo necessario.
Nota. Possibilità utilizzo Cerificazione -ex art 42- per dimostrare la “conformità al Regolamento UE”
• EFFETTO INDIRETTO -Stimolo ai produttori per prodotti più competitivi
-Procedura do coinvolgimento privacy nella progettazione di nuovi prodotti/servizio/applicazioni
11CERTIFICAZIONE- art 42
• COS’E’
➢ Possibilità di chiedere Certificazioni/Sigilli/Marchi di protezione dati.
• SCOPO
➢ Consentire agli Interessati una valutazione rapida del livello di protezione privacy
garantito dal prodotto/servizio.
• CHI PUO’ RICHIEDERLA
➢ Il Titolare o il Responsabile del trattamento.
➢ Su base volontaria
➢ Tenute in considerazione esigenze delle PMI
• COSA DEVE ESSERE FATTO
➢ Deve fornire una serie di elementi necessari per la valutazione
• CHI LA RILASCIA
➢ Garante o un Ente Certificatore “accreditato”
• DURATA DELLA CERTIFICAZIONE
➢ Max 3 anni. Rinnovabile.
➢ Revocabile per perdita requisiti
12Ma alla fine di questa presentazione,
la vera domanda è:
ad oggi siete compliance ?
13I 10 comandamenti del Regolamento Privacy: li rispetti tutti?
1. Sei in grado d’identificare con certezza il responsabile designato al trattamento dei dati nella tua
azienda?
2. Dipendenti, clienti e fornitori sono a conoscenza di quanto previsto dall’Informativa Privacy aziendale?
3. Il backup dati avviene a cadenza almeno settimanale?
4. In caso di dimissioni o licenziamento di un dipendente, le sue credenziali d’accesso a server e
postazioni web vengono immediatamente disabilitate?
5. Le password d’accesso a tutti i computer vengono modificate almeno 2 volte l’anno?
6. I curricula vitae archiviati in formato cartaceo o digitalmente, vengono eliminati dopo 12 mesi?
7. La tua azienda si avvale di un D.P.O. (Data Protection Officer)?
8. Avete un inventario completo degli armadi contenenti documenti con dati personali di dipendenti,
clienti, fornitori?
9. Gli archivi contenenti documentazione sono ad accesso controllato e muniti di chiavi?
10. L’ingresso agli uffici contenenti documentazione prevede almeno uno di questi presidi?
• Guardia armata,
• Custode/ Reception
• Videosorveglianza
• Videocitofono
• Blindatura porta.
14Risultati:
Da 0 a 2 risposte positive
Non conformità CRITICA: i requisiti di legge vengono totalmente o quasi totalmente disattesi. Occorre
contattare al più presto la Ekko srl o un’altra azienda di consulenza specializzata per normarsi.
Da 3 a 5 risposte positive
Non conformità SECONDARIA: i requisiti normativi sono parzialmente o in larga parte disattesi. Occorre
predisporre numerose azioni correttive.
Da 6 a 8 risposte positive
Le risultanze dimostrano l’osservanza di diversi requisiti normativi, ma si suggeriscono delle misure di
miglioramento per rendere più efficiente il processo.
Da 9 a 10 risposte positive
COMPLIMENTI! La vostra Compliance Privacy è a un ottimo livello. Per essere certi di essere normati al
100%, chiamate il nostro staff allo 039.9253153.
15INFORMATICA E TECNOLOGIA
AL SERVIZIO DEL GDPR
GDPR Azioni e Strumenti per Agevolare
la Conformità alla Sicurezza dei Dati
Sergio Marchese
Owner e Sales Manager SotehaIT - GDPR | Obblighi
art. 32 - Regolamento GDPR
Prescrive l’obbligo per titolari e responsabili
di mettere in atto misure tecniche e organizzative
adatte a garantire un livello di sicurezza adeguato
al rischio a cui è esposto il titolare del trattamento.IT - GDPR | Principali Minacce
ABUSI DISSIMULATI
Azioni che mirano a sistemi, infrastrutture e/o reti mediante azioni dannose,
generalmente definite come attacchi informatici e azioni correlate (es. spam,
malware, spyware, botnet, manipolazione hardware e software, alterazioni
configurazioni, DDoS, violazione di dati, furto d’identità)
ATTACCHI FISICI
Azioni offensive finalizzate a distruggere, esporre, alterare, disabilitare, ottenere
l’accesso non autorizzato a risorse fisiche come infrastruttura, hardware e
interconnessione (es. atti di vandalismo, furto di dati, attacchi massivi)IT – GDPR | Principali Minacce
DANNO INTENZIONALE
Si riferisce principalmente alle risorse IT; le minacce attengono sia alla perdita di
dati che al danneggiamento dello stesso hardware
SOFISTICATE CAMPAGNE DI PHISHING
I criminali informatici continuano a creare specchietti per le allodole,
utilizzando nelle comunicazioni elettroniche oggetti che fanno riferimento a
fatture, spedizioni, CV, bonifici, mancati pagamenti. In questo contesto il
ransomware sta subentrando ai trojan bancari per affermarsi come uno dei
principali tipi di malware trasmessi attraverso il phishing.IT - GDPR | Minacce Più Pericolose 2017
TROJAN – 788.761.300 rilevamenti > 60%
I Ramsomware continueranno a crescere e a diventare sempre
più sofisticati.
Si tratta di un tipo di malware che limita l'accesso del dispositivo
infettato, richiedendo un riscatto (ransom in Inglese) da pagare
per rimuovere la limitazione.
EXPLOIT – 222.860.100 rilevamenti > 17%
Tipologia di script, virus, worm o binario che sfruttando una
specifica vulnerabilità presente in un sistema informatico,
permette l'esecuzione di codice malevolo su di esso con lo
scopo di far ottenere all'attaccante l'acquisizione dei privilegi
amministrativi.IT - GDPR | Minacce Più Pericolose 2017
PUA – 173.091.500 rilevamenti > 13%
Applicazioni riunite in pacchetti che vengono spesso scaricate
all’insaputa dell’utente, insieme ad altre App legittime. Possono
intasare i pc con annunci pubblicitari e dirottare i browser, e
spesso raccolgono dati sugli utenti.
PHISHING – 131.319.600 rilevamenti > 10%
Truffa informatica effettuata inviando un'e-mail con logo
contraffatto di istituto di credito o società di commercio
elettronico, in cui si invita il destinatario a fornire dati riservati (es.
num. carta di credito, pw di accesso), motivando la richiesta
con ragioni di ordine tecnico.IT - GDPR | Minacce
Secondo la Vostra esperienza, qual è stata la minaccia
che ha creato i maggiori danni economici alle aziende nel 2017?
Una minaccia che si è rivelata particolarmente insidiosa nel 2017
- sia per la numerosità degli attacchi che per il danno
economico causato - è il CRYPTOLOCKER, particolare tipologia di
Ransomware, la cui caratteristica è quella di richiedere il
pagamento di un riscatto al fine di sbloccare l’accesso al sistema
informatico sotto attacco.
CRIPTOVALUTE ALTERNATIVE
Il Bitcoin rimane la valuta preferita tra i criminali informatici, che tuttavia
devono sviluppare o comunque sfruttare tecniche di riciclaggio di
Bitcoin o adottare criptovalute alternative per nascondere le transazioni.IT - GDPR | Minacce Più Pericolose 2018
RAMSOMWARE
Le previsioni per il 2018 non sono positive. I Ramsomware
continueranno a crescere e a diventare sempre più sofisticati.
Si tratta di un tipo di malware che limita l'accesso del dispositivo
infettato, richiedendo un riscatto (ransom in Inglese) da pagare
per rimuovere la limitazione.
PHISHING
Insieme ai Ramsomware, i Phishing sono il peggior pericolo per il
2018. Trattasi di una truffa informatica effettuata inviando un'e-
mail con logo contraffatto di istituto di credito o società di
commercio elettronico, in cui si invita il destinatario a fornire dati
riservati (es. num. carta di credito, pw di accesso), motivando la
richiesta con ragioni di ordine tecnico.IT - GDPR | Minacce Più Pericolose 2018
BLUETOOTH
Ad agosto 2017, è stata scoperta la vulnerabilità BlueBorne che
colpisce il Bluethooth dei dispositivi e permette agli hacker di
accedere alla rete aziendale
SMARTPHONE
Gli Smartphone dei dipendenti sono un pericolo per le PMI,
soprattutto se utilizzati per questioni lavorative
MESSAGGI TRUFFA
Se si ricevono messaggi con vincete, promozioni, richieste di
rinnovo, segnalazione della presenza di malware sul proprio
pc/mobile, è necessario analizzare la situazione e prestare
massima attenzione nel compiere qualunque azione!IT - GDPR | Misure Utili da Adottare • ADOTTARE UNA PREVENZIONE PROATTIVA Riconoscere le frodi tramite phishing grazie a una formazione preventiva e a programmi di sensibilizzazione. Facilitare la segnalazione rapida delle e-mail fraudolente da parte dei collaboratori e condurre test interni che dimostrino se l’attività di formazione sta funzionando. • AUMENTARE I CONTROLLI DELLE EMAIL Mantenere potenti filtri antispam e strumenti di autenticazione. Eseguire la scansione di e-mail in arrivo e in uscita per individuare minacce e filtrare file eseguibili. Prendere in considerazione una soluzione di analytics per le e-mail basata su tecnologia cloud. • ISOLARE L’INFRASTRUTTURA Eliminare o limitare i diritti di amministratore della postazione di lavoro a livello locale o cercare di trovare le combinazioni di configurazione corrette (es. scanner di virus, firewall). Aggiornare periodicamente i sistemi operativi e le applicazioni con le patch. • PIANIFICARE LA CONTINUITA’ Per evitare riscatti, è necessario stilare un valido piano informatico di resilienza per il recupero delle informazioni, da sottoporre regolarmente a verifiche, revisioni e aggiornamenti.
IT - GDPR | Misure Utili da Adottare • Puntuale definizione e implementazione dei DIRITTI DI ACCESSO, al fine di ridurre al minimo le conseguenze di un attacco • Disponibilità di SET BACK UP realizzati secondo schemi affidabili e testati per assicurare un ripristino veloce dei dati • Implementazione di una gestione robusta delle VULNERABILITA’, degli AGGIORNAMENTI e di strumenti di FILTRAGGIO dei contenuti, finalizzati a bloccare attacchi indesiderati, mail con allegati dannosi, spam e traffico di rete indesiderato • installazione di strumenti di PROTEZIONE delle POSTAZIONI, costituiti non solo da software antivirus ma anche da componenti in grado di bloccare l’esecuzione di programmi non verificati anche tramite uso di white list • adozione di politiche per il controllo di DISPOSITIVI ESTERNI e in generale dell’accesso attraverso porte usb • FORMAZIONE degli utenti sul comportamento consapevole della navigazione web • ATTENZIONE agli sviluppi di nuovi ramsomware e ai suggerimenti per la prevenzione
SOTEHA|I Nostri Partner
IT - GDPR | Soluzioni IT per il GDPR
BACK UP | Locale – Restore - Cloud
Replicazione su un qualunque supporto di memorizzazione di
materiale informativo archiviato nella memoria di massa di dispositivi
pc o mobile, al fine di prevenire la perdita definitiva dei dati in caso
di eventi malevoli accidentali o intenzionali.
FIREWALL
Componente di difesa perimetrale di una rete informatica, che può
anche svolgere funzioni di collegamento tra due o più segmenti di
rete, garantendo dunque una protezione in termini di sicurezza
informatica della rete stessa
DISASTER RECOVERY | Locale - Cloud
Insieme delle misure tecnologiche e logistico/organizzative atte a
ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di
servizi business per imprese, associazioni o enti, a fronte di gravi
emergenze che ne intacchino la regolare attività.IT - GDPR | Soluzioni IT per il GDPR
ANTIVIRUS
Software programmato per funzionare su un computer atto a prevenire,
rilevare ed eventualmente rendere inoffensivi codici dannosi – malware -
UTM – Unified Threat Management
Unica applicazione di network security integrata contenente firewall,
antivirus per gateway, intrusion detection e intrusion prevention.
VPN – Virtual Private Network
Estensione a livello geografico di una rete locale privata aziendale sicura
che colleghi tra loro siti interni all'azienda stessa variamente dislocati su
un territorio.
PENETRATION TEST
Processo operativo di valutazione della sicurezza di un sistema o di una
rete che simula l'attacco di un utente malintenzionatoSOTEHA|Chi Siamo
WEB AGENCY INFRASTRUCTURE MANAGEMENT ICT
Sviluppo Siti / E-Commerce Cloud Computing Networking & Security
Sviluppo App Native Data Center Hardware & Software
Servizi Web Marketing Connectivity Unified CommunicationsSOTEHA|Qualche Numero …
1996 2017
CLIENTI 50 +600
PROFESSIONISTI 5 30
FATTURATO - MIL 0,3 2,7GRAZIE PER L’ATTENZIONE!
Non solo prevenzione Cybersecurity - Cisco Lucia Cavaciuti Twitter: @lucycava 10/05/2018
KAHOOT © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Welcome to the Hackers’ Economy
$
Bank
Malware Account Info
Development >$1000 depending
$2500 on account type
(commercial and balance
malware) Facebook
Accounts
$1 for an
account with
15 friends
Social
Security
$1
Credit Card
Data Spam
$0.25-$60 $50/500K
emails
DDoS
Mobile
Exploits DDoS as Malware
$1000- A Service $150
$300K ~$7/hour
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ransomware “your file is encrypted” © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Typical Ransomware Infection
C2 Comms
Infection & Encryption Request
Vector Asymmetric of Files of
Key Ransom
Exchange
Ransomware Ransomware Ransomware Owner/company
frequently takes control of holds those agrees to pay the
uses web and targeted systems ‘ransom’
email systems ‘hostage’ (bitcoins) to free
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential the systemUmbrella AMP for Endpoints
Secure Internet Gateway Next-Gen Endpoint Security
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threat intelligence -Cisco Umbrella © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Umbrella
Safe Blocked
request request
First line of defense
ANY DEVICE ROAMING BRANCH
ON NETWORK LAPTOP OFFICESOur view of the internet
120B 85M 15K 160+
requests daily active enterprise countries
per day users customers worldwide
Our efficacy
Discover Identify Enforce
3M+ 70K+ 7M+
daily new daily malicious malicious destinations
domain names destinations while resolving DNSSEA Attack on the NY Times and Twitter August 27, 2013 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
OpenDNS Security Malicious
Graph IP discovered, blocked
August 27, 2013
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialWannacry?? Not with Umbrella ! From www.malwaretech.com: © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco
Umbrella
208.67.222.222
It’s ok to point
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialEasy as 1-2-3
Cisco
Umbrella
208.67.222.222
1 2 3
Point DNS to Configure network IP Enforce
Cisco Umbrella address on Umbrella and report
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialOff–network user
1 Enable roaming security module 208.67.222.222
2 Set roaming policy in Umbrella
3 Gain visibility into internet activity
and detailed logs for incident
response
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialCan we predict attacks?
INTELLIGENCE
Spike rank model
Patterns of guilt
DGA MALWARE EXPLOIT KIT PHISHING
Massive amount y.com
DNS REQUESTS
of DNS request y.com is blocked before
volume data is it can launch full attack
gathered and
analyzed
DAYS
DNS request volume matches known
exploit kit pattern and predicts future attack
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialUncover more with Umbrella
Across 200+ recent POVs:
50% 82% 77%
Encountered APT Encountered Encountered
(Advanced Persistent Threat)
ransomware phishing
653 C2 callbacks blocked 1150 malware requests blocked
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Puoi anche leggere
