Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR

639 visualizaciones

Publicado el

Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.

Publicado en: Tecnología
  • Sé el primero en comentar

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR

  1. 1. + L’industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR [ESTRATTO] Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
  2. 2. Agenda  Scenario (in evoluzione)  Data Breach e sicurezza in azienda  Tecniche di logging  Ransomware
  3. 3. Cyber attacks Fonte: Check Point Mid-Year Report 2017
  4. 4. Live Cyber Attack Threat Map https://threatmap.checkpoint.com/ThreatPortal/livemap.html
  5. 5. Fattore umano Anello debole Serve:  Informazione (cultura)  Formazione (competenze) Fonte: IBM
  6. 6. The Global Risks Report 2017 (12th ed.) The Report concludes by assessing the risks associated with how technology is reshaping physical infrastructure: greater interdependence among different infrastructure networks is increasing the scope for systemic failures – whether from cyberattacks, software glitches, natural disasters or other causes – to cascade across networks and affect society in unanticipated ways. Rising «cyber dependency»
  7. 7. GDPR: cos’è REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ➢ In vigore dal: 24 maggio 2016 ➢ Piena applicazione dal: 25 maggio 2018 ➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
  8. 8. GDPR: key points  «Diritto all’oblio» (art. 17)  «Diritto alla portabilità dei dati» (art. 20)  «Accountability» (Responsabilizzazione: art. 24)  «Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25)  «Registri delle attività» (art. 30)  «Data Breach» (Notifica di violazione dati personali: artt. 33-34)  «DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione dei dati: art. 35)  «DPO» (Designazione del Responsabile della Protezione Dati: art. 37)
  9. 9. «Accountability» «Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.» [art. 24, c.1]
  10. 10. «Gestione» del data breach Nella Direttiva 95/46/EC non vi era alcun obbligo di notifica per i Titolari, ma solo per fornitori di servizio di comunicazione elettronica (dir. 2002/58/EC, reg. 611/2013, art. 32-bis D.Lgs. 196/03, Opinion n. 3/2014 art. 29 WP) Dal 25 Maggio 2018 obbligo generalizzato per tutti  GDPR, art. 4, c. 1, n. 12; artt. 33-34; considerando nn. 85, 86, 87.  Guidelines on Personal Data Breach notification under Regulation 2016/679, wp250 (art. 29 WP)
  11. 11. Data Breach = Violazione dei dati Art. 4: «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
  12. 12. Tipologie di Data Breach ❖ Confidentiality breach (accesso, divulgazione) ❖ Integrity breach (alterazione) ❖ Availability breach (perdita, distruzione)
  13. 13. Non «adeguata sicurezza» Non rispettare la procedura di notifica di Data Breach può essere visto come mancanza di «adeguata sicurezza» nel trattamento dei dati Violazione della normativa anche ex art. 32 (non solo ex art. 33). Sanzioni (art. 83, c. 4) La capacità di individuare, affrontare e riportare una violazione in tempi brevi, e comunque adeguati, è un elemento essenziale per la compliance dell’azienda e fa parte integrante delle «misure adeguate» previste dall’art. 32
  14. 14. Alcuni esempi ❖ Ransomware. ❖ Smartphone o altro dispositivo smarrito. ❖ Accesso a db e pubblicazione dei dati on line. ❖ Interruzione dei sistemi.
  15. 15. Cosa fare?  Tutte le informazioni relative a questioni di sicurezza dovrebbero essere indirizzate verso un referente che abbia il compito di affrontare il problema e verificare i rischi (DPO?)  Verificare subito se ci sono rischi per gli interessati, informando le funzioni aziendali rilevanti  Assessment, indagini e raccolta di informazioni  Agire per contenere e porre rimedio alla violazione  Se necessario, procedere con le notifiche all’Autorità e agli interessati
  16. 16. Come gestire i «sinistri» I Titolari sono incentivati ad adottare un “Registro degli incidenti”, anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: ▪ Cause ▪ Descrizione della violazione ▪ Dati personali compromessi ▪ Effetti e conseguenze della violazione ▪ Rimedi e provvedimenti presi, ragioni per queste azioni ▪ Ragionamento del Titolare che ha escluso l’obbligo di notifica ▪ Motivi dell’eventuale ritardo nella notificazione Adottare una procedura di notifica interna. Sarebbe utile dare prova di aver informato tutti gli incaricati della procedura e dell’obbligo di avvisare il titolare del trattamento in caso di incidente.
  17. 17. Grazie dell’attenzione.

×