I processi e i modelli organizzativi aziendali si confrontano quotidianamente con le opportunità e i rischi derivanti dall’utilizzo di strumenti informatici e di mezzi di comunicazione digitale. È indispensabile adottare e mantenere nel tempo soluzioni in grado di garantire adeguati livelli di qualità e sicurezza nella gestione di dati e processi, anche al fine di proteggere e valorizzare il patrimonio intangibile dell’azienda.
Il seminario proporrà spunti di riflessione sul tema, sia dal punto di vista legale-normativo, sia da una prospettiva tecnico-informatica. - See more at: http://www.smau.it/torino15/schedules/protezione-degli-asset-aziendali-tra-sicurezza-privacy-e-compliance/#sthash.x3heM0vB.dpuf
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
Slides Igor Serraino torino 2015 smau
1. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Protezione degli asset aziendali
tra sicurezza, privacy e
compliance
Avv. Andrea Maggipinto, ICT & IP specialist (www.maggipinto.eu)
Ing. Igor Serraino, PM & IT consultant (www.serraino.it)
1
2. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
LOCATION OF THE DATA (local laws)
2
3. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
LIVELLO ORGANIZZATIVO E TECNOLOGICO
Responsabile della Protezione dei Dati (Data Protection Officer)
La figura è obbligatoria per il settore pubblico e, nel settore privato per un’impresa con 250 o più
dipendenti, oppure, quando le attività principali del responsabile del trattamento consistono in
trattamenti che richiedono il controllo regolare e sistematico degli interessati.
Privacy nel ciclo di vita (Privacy by Design)
Attuare concretamente il principio della ‘Privacy by Design' significa che, unitamente all’uso di
tecnologie PET (Privacy Enhanced Technology), Privacy e Protezione dei dati sono ‘’assemblate’’ in
tutto l'intero ciclo di vita delle tecnologie e dei sistemi di business, dalla fase di individuazione,
disegno, progettazione e distribuzione, utilizzo e dismissione.
Valutazione di Impatto sulla Protezione dei Dati (Privacy Impact Analysis -PIA)
Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per
i diritti e le libertà degli interessati, il responsabile del trattamento effettua una valutazione
dell’impatto del trattamento previsto sulla protezione dei dati personali.
Notifica delle Violazioni di Accesso ai Dati (Data Breach Notification)
Non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare
all’autorità di controllo senza ritardo e, quando possibile, entro 24 ore. Quando la violazione rischia
di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del
trattamento, dopo aver notificato all’autorità comunica la violazione all’interessato senza ritardo.
Audit di Compliance della Data Protection
Prevede 2 aree la Normativa Privacy e l’Organizzazione e il Contesto tecnologico
3
4. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
Rif.
4
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
concernente la tutela delle persone fisiche con riguardo al
trattamento dei dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati)
5. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
La rapidità̀ dell’evoluzione tecnologica e la globalizzazione
comportano anche nuove sfide per la protezione dei dati
personali
La tecnologia attuale consente alle imprese private quanto alle
autorità̀ pubbliche di utilizzare dati personali, come mai in
precedenza, nello svolgimento delle loro attività̀ e, sempre più̀
spesso, gli stessi privati rendono pubbliche sulla rete
mondiale informazioni personali che li riguardano.
Le nuove tecnologie hanno trasformato non solo l’economia ma
anche le relazioni sociali e impongono che si faciliti ancora di
più̀ la libera circolazione dei dati all’interno dell’Unione e il
loro trasferimento verso paesi terzi e organizzazioni
internazionali; al tempo stesso, però, occorre garantire un
elevato livello di protezione dei dati personali.
5
6. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
È necessario applicare i principi di protezione a tutte le
informazioni relative ad una persona identificata o
identificabile.
Per stabilire l’identificabilità di una persona, è opportuno
considerare tutti i mezzi di cui può ragionevolmente avvalersi
il responsabile del trattamento o un terzo per identificare
detta persona.
Non è necessario applicare i principi di protezione ai dati resi
sufficientemente anonimi da impedire l’identificazione
dell’interessato.
6
7. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
La nuova figura del Privacy Officer
Il Privacy Officer, o Consulente della Privacy, è una nuova figura
professionale alla quale sono richieste sia competenze
giuridiche che informatiche
Ruolo: organizzare nel modo più opportuno la gestione e tutela
dei dati personali all’interno di un’azienda, nel rispetto della
normativa vigente.
L’obbligo di introdurre tale figura è previsto nel settore pubblico
e, nel settore privato, per le grandi imprese o allorquando le
attività principali del responsabile del trattamento e
dell’incaricato del trattamento consistono in trattamenti che
richiedono il controllo regolare e sistematico degli interessati
(art. 35).
7
8. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
La nuova figura del Privacy Officer: compiti
controllare che il responsabile del trattamento o l’incaricato del
trattamento effettui la valutazione d’impatto sulla protezione
dei dati;
controllare che sia dato seguito alle richieste dell’autorità di
controllo e, nell’ambito delle sue competenze, cooperare con
l’autorità di controllo di propria iniziativa o su sua richiesta;
fungere da punto di contatto per l’autorità di controllo per
questioni connesse al trattamento e, se del caso, consultare
l’autorità di controllo di propria iniziativa.
8
9. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
«Privacy by Design»
Nuovo approccio concettuale alla privacy
Strutturata in 3 azioni e 7 principi fondamentali
3 azioni
Tecnologia dell'informazione
Pratiche commerciali responsabili
Progettazione delle strutture.
9
10. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
«Privacy by Design»
7 principi fondamentali
atteggiamento proattivo e non reattivo
prevenzione e non rimedio
privacy by default
privacy incorporata nell'architettura
completa funzionalità – positive sum (es. mutually beneficial gains from trade
in goods and services between nations), not zero sum (se io guadagno,
qualcun altro sta perdendo)
protezione per l'intero ciclo vitale delle informazioni
visibilità e trasparenza
rispetto della riservatezza dell'utente.
10
11. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
«Privacy by Design»
Si può immaginare, ad esempio, il contesto della videosorveglianza
per la quale, salvaguardando l'esigenza di sicurezza e al
contempo di privacy degli individui, si adottano in concreto delle
soluzioni tecnologiche tali da evitare rischi per la perdita di dati o
per la riservatezza delle persone.
Altro riferimento può essere quello che riguarda la progettazione
degli ambienti in cui spesso le informazioni personali vengono
ascoltate da chi ci è vicino all'interessato (il caso di un soggetto
che in un ufficio pubblico o in un ospedale riferisce informazioni
personali che sono ascoltate da chi gli è vicino).
Gli investimenti che le aziende fanno sulla privacy vanno considerati
come un valore aggiunto e non come un costo improduttivo.
L'approccio della PbD va inteso come un processo che non abbia il
suo fulcro nel dato normativo, ma piuttosto nella concreta tutela
dei dati personali, ponendo al centro unicamente l'individuo.
11
12. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Privacy Impact Analysis - PIA
Effettuata dal Responsabile del Trattamento
12
http://www.oaic.gov.au
13. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Privacy Impact Analysis - PIA
Se correttamente effettuata, aumenta le possibilità di successo di
un progetto complesso
• Assicura il rispetto della normativa
• Include risk analysis
• manage any negative
privacy impacts
• avoid costly or embarrassing
privacy mistakes.
13
14. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Data Breach Notification
Art. 31 - Notificazione di una violazione dei dati personali
all’autorità di controllo
In caso di violazione dei dati personali, il responsabile del
trattamento notifica la violazione all’autorità di controllo
senza ritardo, ove possibile entro 24 ore dal momento in cui
ne è venuto a conoscenza. Qualora non sia effettuata entro 24
ore, la notificazione all’autorità di controllo è corredata di una
giustificazione motivata.
In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato
del trattamento allerta e informa il responsabile del
trattamento immediatamente dopo aver accertato la
violazione.
14
15. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Data Breach Notification
La notificazione di cui al paragrafo 1 deve come minimo:
a) descrivere la natura della violazione dei dati personali, compresi le categorie e
il numero di interessati in questione e le categorie e il numero di registrazioni
dei dati in questione;
b) indicare l’identità e le coordinate di contatto del responsabile della protezione
dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli
della violazione dei dati personali;
d) descrivere le conseguenze della violazione dei dati personali;
e) descrivere le misure proposte o adottate dal responsabile del trattamento per
porre rimedio alla violazione dei dati personali..
15
16. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Data Breach Notification
L'autorità di controllo tiene un registro pubblico delle tipologie
di violazioni notificate. (in linea con la nuova direttiva relativa
agli attacchi contro i sistemi di informazione)
PRIMA
Serve a prevenire per quanto possibile gli incidenti
DOPO
Serve rilevare gli incidenti
Serve poter e saper documentare gli incidenti
Serve sapere come rispondere (reagire) agli incidenti
16
17. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Data Breach Notification
L'autorità di controllo tiene un registro pubblico delle tipologie
di violazioni notificate. (in linea con la nuova direttiva relativa
agli attacchi contro i sistemi di informazione)
PRIMA
Serve a prevenire per quanto possibile gli incidenti
DOPO
Serve rilevare gli incidenti
Serve poter e saper documentare gli incidenti
Serve sapere come rispondere (reagire) agli incidenti
Serve a limitare i danni (mettendo l’interessato in condizione di difendersi e
reagire all’incidente)
Serve tutelarsi dalle azioni legali e richieste di risarcimento
Serve sapere come gestire la notizia e prevenire danni alla reputazione
17
18. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Audit di Compliance della Data Protection
“A systematic and independent examination to determine
whether activities involving the processing of personal data
are carried out in accordance with an organisation’s data
protection policies and procedures, and whether this
processing meets the requirements of the [law].” UK
Information Commissioner’s Office
Assess compliance with the law
Assess compliance with entities’ own policies and procedures
Assess gaps and weaknesses
Provide information to ensure compliance
Ensure awareness
Minimize risk
18
20. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Nuovi modelli di processo
• Ad oggi è sempre maggiore la % di aziende che ha già intrapreso
percorsi di rinnovamento IT, basati su modelli di processo e
metodologie moderne
• Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul
prodotto finito e sui processi manifatturieri
• Raggiungere l’obiettivo (adeguati standard qualitativi) significava
seguire una strada decisamente tortuosa
• Eccessiva formalità delle norme da applicare
• Vocabolario oscuro
• Eccessiva burocrazia
• Mancanza di strumenti informatici adeguati e costi ancora troppo
elevati
21. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
L’avvento dell’informatizzazione
• Pervasività delle nuove tecnologie
• Progressiva sostituzione del cartaceo con il digitale
• Riduzione delle risorse temporali che l’azienda deve
dedicare al perseguimento degli obiettivi
• Integrazione del sistema di qualità con gli strumenti
hardware e software già presenti in azienda
• Progressivo cambio generazionale degli addetti al
backoffice
22. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Il concetto di servizio e l’informatica
Fornire un servizio: soddisfare i bisogni e le aspettative
dell’utilizzatore
•Necessario disaccoppiare il concetto di qualità di un servizio dal costo
che il cliente/utilizzatore deve pagare per ottenerlo
•Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel
concetto di qualità un fattore di successo
•Il processo produttivo o di erogazione del servizio riveste un ruolo
fondamentale nel garantire adeguati livelli di qualità
•L’informatica rappresenta uno strumento , non una garanzia assoluta
di successo
23. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Ruolo del sistema informativo nell'erogazione del servizio
L'utente richiede
un servizio o
un prodotto
Servizio
o
prodotto
Sistema
informativo
Strutture organizzative
Sistema informatico
Supporta,
fornisce
strumenti
Utilizza
24. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
ISO: International Organization for Standardization
• La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o
processo di ottemperare a requisiti di clienti o di altre parti interessate
• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto
porta garanzia di una progettazione e realizzazione del sistema informativo di qualità
garantendone inoltre il controllo.
•
UNI EN ISO 9000:2005 (Sistemi di gestione per la
qualità – Fondamenti e terminologia)
Descrive I fondamenti dei sistemi di gestione per la qualità (intesi come
modelli di management) e specifica il Dizionario della qualità
UNI EN ISO 9001:2008 (Sistemi di gestione per la
qualità – Requisiti)
Indica I requisiti di un SGQ – Sistema di Gestione per la Qualità (da
intendersi come modello di management) ed è propedeutica anche al
conseguimento della certificazione di qualità
UNI EN ISO 9004:2008 (Sistemi di gestione per la
qualità – Linee guida per il miglioramento delle
prestazioni)
Fornisce gli orientamenti per il miglioramento continuo della
performance dell’organizzazione
ISO/IEC 27001:2005 (Requisiti di un sistemi di
gestione della Sicurezza delle informazioni)
The ISO27k (ISO/IEC 27000-series) standards concern the protection of
valuable information assets through information security, particularly the
use of Information Security Management Systems (ISMSs).
25. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
L’integrazione con la ISO9001:2008
• L’Integrazione della ISO 27001 con la normativa ISO 9001, introduce sicurezza in quanto porta
garanzia di una progettazione e realizzazione del sistema informativo, ma anche dei processi
interni dell’azienda stessa, di qualità garantendone inoltre il controllo.
• Disporre di un sistema di qualità è fattore di successo per l’implementazione della norma ISO
27001. La possibilità di utilizzare misure di controllo provenienti dai processi stessi è un ulteriore
fattore da non sottovalutare.
26. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Information Security Management System
• L’obiettivo di un ISMS (Information Security Management System) è
quello di realizzare una serie di routines mirate al security control che
permettano di garantire un livello di protezione delle informazioni
ADEGUATO al contesto aziendale, sia dal punto di vista interno che
da quello del cliente
• La norma certifica le linee guida e gli strumenti a disposizione per
arrivare al risultato atteso
27. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
Standard ISO 27001:2005
• The standard is designed to ensure the selection of adequate and proportionate
security controls that protect information assets and give confidence to interested
parties including an organization’s customers and suppliers.
• Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l'integrità, la riservatezza, la disponibilità e autenticità.
• Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della
sicurezza delle informazioni finalizzato ad una corretta gestione dei dati aziendali
soggetti a tutela.
Security
Tutela personali,
sensibili, giudiziari
Contesto privacy
Contesto 27001
Componenti di
business
28. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
L’azienda ISO/IEC 27001 compliant
• Possiede un’architettura hardware, software, gestionale (comprehensive
framework) su cui sviluppare e implementare politiche di gestione della sicurezza
• Risk-based approach: il modello di ISMS generato durante i vari steps è fortemente
contestualizzato alla realtà aziendale.
• Gestione delle risorse umane: il modello proposto permette di assicurarsi che
figure professionali dalle competenze adeguate siano allocate alla gestione delle
aree critiche
• Completa protezione delle informazioni, dal punto di vista dei tre canoni
fondamentali: riservatezza, integrità, disponibilità.
• L’ISMS è qualitativamente allineato a sistemi gestionali standard come le ISO9001.
• Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa e
delle regole previste
• Aumento della competitività aziendale: la certificazione garantisce alla clientela che
la sicurezza delle loro informazioni personali non è in discussione
• Attestazione di impegno assoluto e di impiego di risorse per risolvere e
gestire problematiche inerenti la sicurezza
29. (c) Riproduzione riservata senza il consenso dell’autore.
CSIG
MILANO
avvocato@maggipinto.eu igor@serraino.it