WEBINAR: CYBERSECURITY - GOVERNANCE. Strumenti e framework di riferimento BDO Italia Fabrizio Bulgarelli - The Innovation ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
WEBINAR: CYBERSECURITY GOVERNANCE. Strumenti e framework di riferimento BDO Italia Fabrizio Bulgarelli
IL NETWORK INTERNAZIONALE
BDO è una partnership multidisciplinare di servizi professionali alle
imprese
BDO è tra i principali network internazionali di revisione e consulenza aziendale del paese di appartenenza, organizzata in modo autonomo e che opera nel
con circa 64.000 professionisti altamente qualificati in più di 150 paesi. rispetto delle norme e dei requisiti professionali locali.
BDO offre servizi professionali integrati in linea con i più elevati standard L’adesione al network BDO è motivata dalla condivisione di valori professionali,
qualitativi a grandi gruppi internazionali, PMI nazionali, investitori privati e di standard, di metodologie, di formazione professionale, di forme di controllo e
istituzioni pubbliche, per affiancarli e migliorarne le performance in ogni fase di valutazione dei rischi che costituiscono il patrimonio comune di BDO.
del loro sviluppo, nel rispetto delle normative vigenti. Ciò permette di offrire ai clienti nel mondo un servizio professionale omogeneo
altamente qualificato, mantenendo le peculiarità professionali proprie di ogni
Ogni Member Firm del network BDO è una entità indipendente, costituita paese.
secondo la legge
* including BDO’s exclusive alliance firms
** IAB Network of the Year Award
Page 2
1. BDO IN ITALIA
5th 21 700
sul mercato italiano della Uffici circa 700 Professionisti,
revisione contabile e dei di cui circa 50 partner
servizi professionali alle
imprese.
«Oggi, più che mai, BDO
è la scelta vincente» Treviso
Aosta Bergamo
Verona Vicenza
Novara
Milano Brescia Trieste
Padova
BDO in Italia, una realtà Torino I principali obiettivi del
integrata di cui fanno parte Genova nostro modello organizzativo
Bologna
BDO Italia S.p.A. • la condivisione e il
Firenze potenziamento dell’expertise di
la one-firm concentra le attività di
ciascuna entità coinvolta a
audit, advisory e business services
beneficio della qualità dei servizi
& outsourcing Roma
Pescara offerti al Cliente e al mercato
BDO Italia S.p.A. è iscritta al
• la semplificazione delle
Registro dei Revisori Legali al n. Napoli Bari dinamiche relazionali tra il
167911 con D.M. del 15/03/2013
Potenza Cliente e le diverse entità BDO
G.U. n. 26 del 02/04/2013 presso
il Ministero dell’Economia e delle • l’efficienza aziendale e
Cagliari
Finanze l’ottimizzazione delle strutture
di costo e dei processi aziendali,
Studio Associato Legale e in termini, ad esempio, di HR,
Tributario Formazione, Comunicazione
Palermo aziendale, Amministrazione
società di professionisti
Page 3
Un Nuovo Framework
Quasi contemporaneamente al Nuovo Regolamento EU
Protezione Dati Personali: EO 13636 Issued –February 12,
Richiesta al presidente Obama (2012) da parte di aziende USA 2013
Vorremmo qualcosa che ci consentisse di ridurre NIST Issues RFI –February 26,
i rischi IT : 2013
Non normativo 1st Framework Workshop –April
03, 2013
Usato con decisione autonoma (voluntary)
Nel febbraio 2014 il NIST
Adattabile a specifiche esigenze e priorità pubblica il Cybersecurity
(no one-size fits all) Framework (CSF) e lo rende
Flessibile liberamente disponibile
Orientato alle prestazioni
Efficiente (costo/prestazione)
In grado di identificare, valutare e gestire i
rischi IT
Basato sull’utilizzo o quanto meno allineato
agli standard e buone pratiche già disponibili
nel contesto internazionale
NIST Cybersecurity Framework Core : Activities and desired
outcomes
Identify
Protect
Processo della
Detect
Sicurezza
Respond
Recover
CSF : Struttura
NIST Framework Core Standards e Buone
Pratiche
(Riferimenti informativi)
Subcategory
Identify
Protect
Detect
MAP
(possibile)
Respond
Recover
5 2 9
0 8NIST Framework Core
CSF : Struttura
Standards e
Buone Pratiche
MISURA DELL’EFFICACIA (TIER)
ATTUALE PIANIFICATA
Profilo Parziale Informato Ripetibile Adattivo
Criticità della categoria / Rischio Rischio
Criticità
sottocategoria nel attuale pianificato
contesto in esameITALIA : Framework di Cyber Security Nazionale
Roma, 4 febbraio 2016Evoluzione, un esempio:
Nuovo Regolamento
Europeo per la Protezione Direttiva (1995) (Focus su «cosa fare » per essere
compliant : le Misure Minime !)
dei Dati Personali
Legislatore definisce «cosa fare» : gli interventi (Baseline
Security)
Il Titolare / Responsabile applica e fa reporting (DPS ?)
Compliance
by Regolamento (Focus su «cosa ottenere : risultato» per
Regolamento
Direttiva essere compliant)
Legislatore definisce i «risultati (outcomes)»
Protezione
Il Titolare / Responsabile definisce le misure appropriate ne è
responsabile, le applica ed è sempre in grado di dimostrarlo :
accountability checklist
2Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita
Il principio-chiave è «privacy by design», ossia
garantire la protezione dei dati fin dalla fase di
Art 24. 1
Tenuto conto della natura, dell'ambito di applicazione,
ideazione e progettazione di un trattamento o
del contesto e delle finalità del trattamento, nonché di un sistema, e adottare comportamenti che
dei rischi aventi probabilità e gravità diverse per i
diritti e le libertà delle persone fisiche, il titolare del consentano di prevenire possibili
trattamento mette in atto misure tecniche e
organizzative adeguate per garantire, ed essere in problematiche.
grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette
misure sono riesaminate e aggiornate qualora Non solo cosa si è fatto ma anche perché lo si è
necessario.
fatto !
Ed essere sempre in grado dimostrare la
conformità all’intero regolamento
10La semplice Compliance non basta più…
(Isabelle Falque Pierrotin Chief of WP29, april 2016)
“On behalf of the WP29 I am happy to give you a few elements, insights on how we plan
to act in the next months in order to prepare for the GDPR.”
Dynamic Compliance
Pick and Choose
Chef d’Orchestre
Risk based approach
Approccio Evoluto
2Non più Check-list
All’interno del GDPR 39 articoli su 99 richiedono evidenze di
compliance, mentre gli altri trattano di:
o Definizioni
o Obblighi legali
o Codici di condotta
o Azioni di contrasto
o ……..
I risultati di diversi GdR evidenziano una serie di obblighi in
riferimento alla gestione del trattamento:
o 23 deliverables
o 29 task
12… un esempio Articolo 16 Diritto di rettifica «by design» L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Speaker
Contatti:
fabrizio.bulgarelli@bdo.it
FABRIZIO BULGARELLI
Senior Manager +39 348 2212890
IS Audit & Compliance
Experience
28+ years of experience in Information Technology & System Audit
Certificate: CISA, LA ISO27001, LA ISO22301, COBIT5
Involved in the European project of asset quality review AQR lead by BCE in cooperation with Banca
d’Italia.
Member of the Commission UNI/CT 526 UNINFO APNR-ICT and he participates in workshop about
regulation of «Professional ICT profiles for Privacy».
Past Executive Director of ISACA Milan Chapter - AIEA (Italian Association Information Systems
Auditors)
Controls and coordinates projects of business continuity for public administration in Alto Adige, in
cooperation with AgID «Agenzia per l’Italia Digitale» (ex Cnipa/DigitPA).Puoi anche leggere
