SlideShare uma empresa Scribd logo

Privacy e sicurezza informatica secondo i nuovi standard ISO IEC

Fabio Guasconi
Fabio Guasconi

Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.

Tecnologia
1 de 27
Baixar para ler offline
Security Summit 2015, Roma Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale.
© 2014 BL4CKSWAN S.r.l. – Pagina 2 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Agenda Altre attività nazionali ed europee Profili professionali ISO/IEC 24760: Identity management ISO/IEC 29151: Controlli ISO/IEC 29134: Privacy Impact Assessment ISO/IEC 29100: Privacy Framework Privacy e Security UNINFO ed SC27
© 2014 BL4CKSWAN S.r.l. – Pagina 3 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Relatore Fabio GUASCONI  Direttivo di UNINFO  Presidente del ISO/IEC JTC1 SC27 UNINFO  Direttivo CLUSIT  CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001  Partner e co-founder BL4CKSWAN S.r.l
© 2014 BL4CKSWAN S.r.l. – Pagina 4 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Normazione in Italia: ecosistema UNI CIG (Gas) CTI (Termotecnico) CUNA (Automobilistico) UNISIDER (Metallurgico) UNIPLAST (Materie plastiche) UNICHIM (Chimico) UNINFO (ICT) UNI è l'Ente Nazionale Italiano di Unificazione, più colloquialmente detto anche "Ente Italiano di Normazione" Ha 7 enti federati che si occupano di tematiche verticali
© 2014 BL4CKSWAN S.r.l. – Pagina 5 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC UNINFO “UNINFO è una libera Associazione a carattere tecnico-scientifico e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.” Estratto dallo Statuto UNINFO
© 2014 BL4CKSWAN S.r.l. – Pagina 6 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Settori di attività di UNINFO Sicurezza Informatica, SC27
© 2014 BL4CKSWAN S.r.l. – Pagina 7 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Norme e WG di ISO/IEC JTC1 SC27 SC27 ISO/IEC 27001: ISMS ISO/IEC 27002: Security controls ISO/IEC 15408: Common Criteria ISO/IEC 21827: SSE-CMM ISO/IEC 27031: ICT Business Continuity ISO/IEC 29100: Privacy framework WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG3 criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni
© 2014 BL4CKSWAN S.r.l. – Pagina 8 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Perché normare in ambito Privacy Molti paesi del mondo hanno le loro leggi in materia, con diversi livelli di permissività Le leggi si ispirano a principi comuni che devono essere applicati alle informazioni Le informazioni, in un'economia globale, sono scambiate intensamente e con facilità 8 stringente sostanziale moderata permissiva assente
© 2014 BL4CKSWAN S.r.l. – Pagina 9 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Privacy Security Rapporto tra Privacy e Security Sicurezza informatica Protezione dei dati personali Il concetto di base su cui è nato il WG5 e su cui poggiano tutti i suoi lavori:
© 2014 BL4CKSWAN S.r.l. – Pagina 10 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Altre norme in lavorazione nel WG5 24761: Authentication context for biometrics 24745: Biometric information protection 24760: A framework for identity management 29100: Privacy framework 29101: Privacy architecture framework 29134: Privacy impact assessment 29151: Code of practice for PII protection 29190: Privacy capability assessment model 29191: Requirements for partially anonymous, partially unlinkable authentication PrivacyManagement Identity Management
© 2014 BL4CKSWAN S.r.l. – Pagina 11 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Generalità Framework per la protezione dei dati personali trattati con sistemi informativi  Definizione di termini (vocabolario) condivisi per il trattamento delle PII  Individuazione di attori e ruoli per la gestione dei PII  Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII  Classificazione delle PII  Considerazioni su metadati e PII non richieste  Tecniche di anonimizzazione o associazione a pseudonimi  Gestione dei rischi relativi alla privacy  Misure di sicurezza per far fronte ai rischi individuati  Privacy policy Liberamente disponibile in inglese e in attesa di pubblicazione in italiano 11
© 2014 BL4CKSWAN S.r.l. – Pagina 12 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Principi 12 PRIVACY PRINCIPLES 1.Consent and choice 2.Purpose legitimacy and specification 3.Collection limitation 4.Data minimization 5.Use, retention and disclosure limitation 6.Accuracy and quality 7.Openness, transparency and notice 8.Individual participation and access 9.Accountability 10.Information security 11.Privacy compliance
© 2014 BL4CKSWAN S.r.l. – Pagina 13 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Ruoli PII Principals PII Processor PII Controller 3rd Party PII Controller PII PII PII Consent Consent AZIENDA PROVIDER
© 2014 BL4CKSWAN S.r.l. – Pagina 14 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134 Metodologia per condurre un Privacy Impact Assessment funzionale a:  identificare rischi relativi alla privacy e responsabilità collegate  fornire input per la progettazione di sistemi ("privacy by design")  riesaminare l'impatto sulla protezione delle PII di un sistema nuovo oppure soggetto a modifiche significative  allocare risorse per il contenimento di impatti sulla privacy  fornire informazioni su ambiti in cui la protezione dei dati personali è un tema chiave  fornire evidenza di conformità dove questa è richiesta  fornire evidenza ai PII principal delle misure di protezione presenti sul trattamento delle loro PII
© 2014 BL4CKSWAN S.r.l. – Pagina 15 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134 Preparazione della PIA • Necessità • Team • Pianificazione • Stakeholder Esecuzione della PIA • Flussi informativi • Casi d'uso • Contromisure esistenti • Valutazione del rischio • Trattamento del rischio Follow-up • Report • Implementazione del piano • Audit • Gestione dei cambiamenti alla PIA
© 2014 BL4CKSWAN S.r.l. – Pagina 16 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134  Segue un classico approccio di risk management secondo la ISO 31000  Porta a definire azioni per mitigare il rischio prendendo spunto dal catalogo presente nella ISO/IEC 29151  Include allegati che propongono tassonomie di minacce e rischi direttamente utilizzabili I rischi possono essere anche legati a misure sanzionatorie legate alla normativa locale
© 2014 BL4CKSWAN S.r.l. – Pagina 17 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29151 Catalogo di controlli per la protezione dei dati personali pensato per mitigare i rischi relativi alla privacy (c.d. "privacy risks"). Alcuni esempi: Recepisce completamente i principi della ISO/IEC 29100 ed è calata nel framework della ISO/IEC 27002, risultando compatibile con la ISO/IEC 27001 Policies for the protection of PII Use, retention and disclosure limitation Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub- contracted PII processing Privacy notice Dissemination of privacy program information PII principal access Redress and participation Complaint management Privacy risk assessment Privacy requirement for contractors and service providers Privacy monitoring and auditing PII protection awareness and training PII protection reporting Continuous Improvement of PII management systems Cross border data transfer restrictions in certain jurisdictions
© 2014 BL4CKSWAN S.r.l. – Pagina 18 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Scenari di applicazione combinata SGSI certificato ISO/IEC 27001 PII Risk AssessmentPIA Altri asset informativi Controlli da ISO/IEC 27002 Controlli da ISO/IEC 29151 Piano di trattamento del rischio
© 2014 BL4CKSWAN S.r.l. – Pagina 19 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760 Framework per la gestione delle identità (digitali) concepito come multipart:  Parte 1 (2011) – Definizione di termini (vocabolario) o concetti di: identità, attributi, gestione delle informazioni delle identità, identificazione e autenticazione  Parte 2 (2015) – Architettura di riferimento e requisiti per un "IMS" (identity management system)  Parte 3 (2016) – Prassi per l'implementazione coerenti con parte 1 e 2, compatibile con ISO/IEC 27002 Focus su "emissione, gestione e uso di dati funzionali a caratterizzare individui, organizzazioni o componenti tecnologici che operano per conto di individui od organizzazioni"
© 2014 BL4CKSWAN S.r.l. – Pagina 20 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760-1: ciclo di vita delle identità
© 2014 BL4CKSWAN S.r.l. – Pagina 21 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760-2: caso d'uso di un IMS
© 2014 BL4CKSWAN S.r.l. – Pagina 22 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Altre attività di SC27 legate alla Privacy CEN JWG8 costituito a dicembre 2014 su mandato della Commissione per lavorare nell'ambito di "Privacy management in products and services" a partire da: • "how to address and to manage privacy issues during the design, the development, and the production and service provision processes of security technologies"; • "an informative document for the manufacturers and service providers when specifying the privacy management processes with explanations how to realise them"; • "adoption as ENs of ISO/IEC 27009 and of ISO/IEC 29134". Proposta di realizzazione di uno schema di certificazione volto a riconoscere un "Privacy Seal" basato sull'art.39 della proposta di Regolamento. "Profili professionali per la data privacy" basato su e-CF. 22
© 2014 BL4CKSWAN S.r.l. – Pagina 23 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Profili professionali: e-CF/UNI 11506 23
© 2014 BL4CKSWAN S.r.l. – Pagina 24 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Profili professionali relativi alla privacy La presente proposta di norma vuole utilizzare gli strumenti messi a disposizione dalla collegata “Metodologia per la costruzione di profili professionali basati sul sistema e-CF” per definire i profili professionali di terza generazione relativi alla gestione della privacy. Il mercato nazionale è caratterizzato da anni dall’offerta di numerose proposte di figure professionali di tipo proprietario legate a questa tematica che, in un’ampia eterogeneità, confondono significativamente l’utente finale, sia questo il privato cittadino che vuole migliorare il proprio profilo professionale o un’organizzazione alla ricerca del professionista adatto a coprire le proprie esigenze. La definizione di profili condivisi dal mercato e in grado di armonizzare l’offerta e la domanda in questo settore potrà costituire un valore aggiunto significativo a livello nazionale, permettendo uno sviluppo sinergico da parte dei vari attori e abilitando un miglioramento progressivo delle professionalità legate alla gestione del tema della privacy. 24
© 2014 BL4CKSWAN S.r.l. – Pagina 25 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Nuovo GdL UNINFO in SC27 CAMPO DI ATTIVITÀ Sviluppo e manutenzione di norme nazionali e internazionali relative agli aspetti tecnologici e alle tecniche in materia di protezione della Privacy e dei dati personali MIRROR SC27 WG5, CEN JWG8 25 SC27 Italiano GdL "Serie ISO/IEC 27000" GdL "FIS-Firme, Identità, Sigilli elettronici e relativi Servizi" GdL "Profili professionali relativi alla sicurezza informatica" GdL "Tecnologie e tecniche per la protezione della Privacy e dei dati personali"
© 2014 BL4CKSWAN S.r.l. – Pagina 26 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Contatti fabio.guasconi@bl4ckswan.com www.bl4ckswan.com
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC

Recomendados

Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...uninfoit
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 

Recomendados

Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...uninfoit
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Misure minime di sicurezza informatica
Misure minime di sicurezza informaticaMisure minime di sicurezza informatica
Misure minime di sicurezza informaticaEnrico Zimuel
 
Credit Card Fraud - Europe (BCE 2014)
Credit Card Fraud - Europe (BCE 2014)Credit Card Fraud - Europe (BCE 2014)
Credit Card Fraud - Europe (BCE 2014)Roberto De Sortis - CBCI - QSA
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 

Mais conteúdo relacionado

Mais procurados

UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 

Mais procurados (15)

UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 

Destaque

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Misure minime di sicurezza informatica
Misure minime di sicurezza informaticaMisure minime di sicurezza informatica
Misure minime di sicurezza informaticaEnrico Zimuel
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Natascia Edera
 
L'insegnamento del software geografico libero nell'università
L'insegnamento del software geografico libero nell'universitàL'insegnamento del software geografico libero nell'università
L'insegnamento del software geografico libero nell'universitàMaria Antonia Brovelli
 
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...HTLaw
 
Ssangyong Rexton W: dotazioni e scheda tecnica
Ssangyong Rexton W: dotazioni e scheda tecnicaSsangyong Rexton W: dotazioni e scheda tecnica
Ssangyong Rexton W: dotazioni e scheda tecnicaAutoblog.it
 
Mozzato - 15° Convegno Europeo CSG
Mozzato - 15° Convegno Europeo CSGMozzato - 15° Convegno Europeo CSG
Mozzato - 15° Convegno Europeo CSGCentro Studi Galileo
 
La scelta corretta degli estintori portatili
La scelta corretta degli estintori portatiliLa scelta corretta degli estintori portatili
La scelta corretta degli estintori portatiliDavide Degrassi
 
Presentazione termoidraulica RV
Presentazione termoidraulica RVPresentazione termoidraulica RV
Presentazione termoidraulica RVtermoidraulicarv
 
Manuale d'uso VolantiniFarmacie.it
Manuale d'uso VolantiniFarmacie.itManuale d'uso VolantiniFarmacie.it
Manuale d'uso VolantiniFarmacie.itVolantini Farmacie
 
167 sostanze estinguenti estintori e impianti fissi
167 sostanze estinguenti estintori e impianti fissi167 sostanze estinguenti estintori e impianti fissi
167 sostanze estinguenti estintori e impianti fissihttp://www.studioingvolpi.it
 

Destaque (20)

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Misure minime di sicurezza informatica
Misure minime di sicurezza informaticaMisure minime di sicurezza informatica
Misure minime di sicurezza informatica
 
Credit Card Fraud - Europe (BCE 2014)
Credit Card Fraud - Europe (BCE 2014)Credit Card Fraud - Europe (BCE 2014)
Credit Card Fraud - Europe (BCE 2014)
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?
 
L'insegnamento del software geografico libero nell'università
L'insegnamento del software geografico libero nell'universitàL'insegnamento del software geografico libero nell'università
L'insegnamento del software geografico libero nell'università
 
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...
 
Ssangyong Rexton W: dotazioni e scheda tecnica
Ssangyong Rexton W: dotazioni e scheda tecnicaSsangyong Rexton W: dotazioni e scheda tecnica
Ssangyong Rexton W: dotazioni e scheda tecnica
 
133 bollettinosiln-11-13
133 bollettinosiln-11-13133 bollettinosiln-11-13
133 bollettinosiln-11-13
 
Buon divertimento :-)
Buon divertimento :-)Buon divertimento :-)
Buon divertimento :-)
 
Mozzato - 15° Convegno Europeo CSG
Mozzato - 15° Convegno Europeo CSGMozzato - 15° Convegno Europeo CSG
Mozzato - 15° Convegno Europeo CSG
 
5 Cicli Frigo
5 Cicli Frigo5 Cicli Frigo
5 Cicli Frigo
 
La scelta corretta degli estintori portatili
La scelta corretta degli estintori portatiliLa scelta corretta degli estintori portatili
La scelta corretta degli estintori portatili
 
Presentazione termoidraulica RV
Presentazione termoidraulica RVPresentazione termoidraulica RV
Presentazione termoidraulica RV
 
Manuale d'uso VolantiniFarmacie.it
Manuale d'uso VolantiniFarmacie.itManuale d'uso VolantiniFarmacie.it
Manuale d'uso VolantiniFarmacie.it
 
167 sostanze estinguenti estintori e impianti fissi
167 sostanze estinguenti estintori e impianti fissi167 sostanze estinguenti estintori e impianti fissi
167 sostanze estinguenti estintori e impianti fissi
 

Semelhante a Privacy e sicurezza informatica secondo i nuovi standard ISO IEC

La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001uninfoit
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury frameworkmariodalco
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Digital Law Communication
 
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Andrea Praitano
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017uninfoit
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...TheBCI
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016uninfoit
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRuninfoit
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 

Semelhante a Privacy e sicurezza informatica secondo i nuovi standard ISO IEC (20)

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
 
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
 
Futuro qualita v1
Futuro qualita v1Futuro qualita v1
Futuro qualita v1
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPR
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 

Privacy e sicurezza informatica secondo i nuovi standard ISO IEC

  • 1. Security Summit 2015, Roma Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale.
  • 2. © 2014 BL4CKSWAN S.r.l. – Pagina 2 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Agenda Altre attività nazionali ed europee Profili professionali ISO/IEC 24760: Identity management ISO/IEC 29151: Controlli ISO/IEC 29134: Privacy Impact Assessment ISO/IEC 29100: Privacy Framework Privacy e Security UNINFO ed SC27
  • 3. © 2014 BL4CKSWAN S.r.l. – Pagina 3 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Relatore Fabio GUASCONI  Direttivo di UNINFO  Presidente del ISO/IEC JTC1 SC27 UNINFO  Direttivo CLUSIT  CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001  Partner e co-founder BL4CKSWAN S.r.l
  • 4. © 2014 BL4CKSWAN S.r.l. – Pagina 4 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Normazione in Italia: ecosistema UNI CIG (Gas) CTI (Termotecnico) CUNA (Automobilistico) UNISIDER (Metallurgico) UNIPLAST (Materie plastiche) UNICHIM (Chimico) UNINFO (ICT) UNI è l'Ente Nazionale Italiano di Unificazione, più colloquialmente detto anche "Ente Italiano di Normazione" Ha 7 enti federati che si occupano di tematiche verticali
  • 5. © 2014 BL4CKSWAN S.r.l. – Pagina 5 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC UNINFO “UNINFO è una libera Associazione a carattere tecnico-scientifico e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.” Estratto dallo Statuto UNINFO
  • 6. © 2014 BL4CKSWAN S.r.l. – Pagina 6 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Settori di attività di UNINFO Sicurezza Informatica, SC27
  • 7. © 2014 BL4CKSWAN S.r.l. – Pagina 7 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Norme e WG di ISO/IEC JTC1 SC27 SC27 ISO/IEC 27001: ISMS ISO/IEC 27002: Security controls ISO/IEC 15408: Common Criteria ISO/IEC 21827: SSE-CMM ISO/IEC 27031: ICT Business Continuity ISO/IEC 29100: Privacy framework WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG3 criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni
  • 8. © 2014 BL4CKSWAN S.r.l. – Pagina 8 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Perché normare in ambito Privacy Molti paesi del mondo hanno le loro leggi in materia, con diversi livelli di permissività Le leggi si ispirano a principi comuni che devono essere applicati alle informazioni Le informazioni, in un'economia globale, sono scambiate intensamente e con facilità 8 stringente sostanziale moderata permissiva assente
  • 9. © 2014 BL4CKSWAN S.r.l. – Pagina 9 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Privacy Security Rapporto tra Privacy e Security Sicurezza informatica Protezione dei dati personali Il concetto di base su cui è nato il WG5 e su cui poggiano tutti i suoi lavori:
  • 10. © 2014 BL4CKSWAN S.r.l. – Pagina 10 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Altre norme in lavorazione nel WG5 24761: Authentication context for biometrics 24745: Biometric information protection 24760: A framework for identity management 29100: Privacy framework 29101: Privacy architecture framework 29134: Privacy impact assessment 29151: Code of practice for PII protection 29190: Privacy capability assessment model 29191: Requirements for partially anonymous, partially unlinkable authentication PrivacyManagement Identity Management
  • 11. © 2014 BL4CKSWAN S.r.l. – Pagina 11 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Generalità Framework per la protezione dei dati personali trattati con sistemi informativi  Definizione di termini (vocabolario) condivisi per il trattamento delle PII  Individuazione di attori e ruoli per la gestione dei PII  Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII  Classificazione delle PII  Considerazioni su metadati e PII non richieste  Tecniche di anonimizzazione o associazione a pseudonimi  Gestione dei rischi relativi alla privacy  Misure di sicurezza per far fronte ai rischi individuati  Privacy policy Liberamente disponibile in inglese e in attesa di pubblicazione in italiano 11
  • 12. © 2014 BL4CKSWAN S.r.l. – Pagina 12 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Principi 12 PRIVACY PRINCIPLES 1.Consent and choice 2.Purpose legitimacy and specification 3.Collection limitation 4.Data minimization 5.Use, retention and disclosure limitation 6.Accuracy and quality 7.Openness, transparency and notice 8.Individual participation and access 9.Accountability 10.Information security 11.Privacy compliance
  • 13. © 2014 BL4CKSWAN S.r.l. – Pagina 13 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29100: Ruoli PII Principals PII Processor PII Controller 3rd Party PII Controller PII PII PII Consent Consent AZIENDA PROVIDER
  • 14. © 2014 BL4CKSWAN S.r.l. – Pagina 14 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134 Metodologia per condurre un Privacy Impact Assessment funzionale a:  identificare rischi relativi alla privacy e responsabilità collegate  fornire input per la progettazione di sistemi ("privacy by design")  riesaminare l'impatto sulla protezione delle PII di un sistema nuovo oppure soggetto a modifiche significative  allocare risorse per il contenimento di impatti sulla privacy  fornire informazioni su ambiti in cui la protezione dei dati personali è un tema chiave  fornire evidenza di conformità dove questa è richiesta  fornire evidenza ai PII principal delle misure di protezione presenti sul trattamento delle loro PII
  • 15. © 2014 BL4CKSWAN S.r.l. – Pagina 15 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134 Preparazione della PIA • Necessità • Team • Pianificazione • Stakeholder Esecuzione della PIA • Flussi informativi • Casi d'uso • Contromisure esistenti • Valutazione del rischio • Trattamento del rischio Follow-up • Report • Implementazione del piano • Audit • Gestione dei cambiamenti alla PIA
  • 16. © 2014 BL4CKSWAN S.r.l. – Pagina 16 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29134  Segue un classico approccio di risk management secondo la ISO 31000  Porta a definire azioni per mitigare il rischio prendendo spunto dal catalogo presente nella ISO/IEC 29151  Include allegati che propongono tassonomie di minacce e rischi direttamente utilizzabili I rischi possono essere anche legati a misure sanzionatorie legate alla normativa locale
  • 17. © 2014 BL4CKSWAN S.r.l. – Pagina 17 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 29151 Catalogo di controlli per la protezione dei dati personali pensato per mitigare i rischi relativi alla privacy (c.d. "privacy risks"). Alcuni esempi: Recepisce completamente i principi della ISO/IEC 29100 ed è calata nel framework della ISO/IEC 27002, risultando compatibile con la ISO/IEC 27001 Policies for the protection of PII Use, retention and disclosure limitation Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub- contracted PII processing Privacy notice Dissemination of privacy program information PII principal access Redress and participation Complaint management Privacy risk assessment Privacy requirement for contractors and service providers Privacy monitoring and auditing PII protection awareness and training PII protection reporting Continuous Improvement of PII management systems Cross border data transfer restrictions in certain jurisdictions
  • 18. © 2014 BL4CKSWAN S.r.l. – Pagina 18 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Scenari di applicazione combinata SGSI certificato ISO/IEC 27001 PII Risk AssessmentPIA Altri asset informativi Controlli da ISO/IEC 27002 Controlli da ISO/IEC 29151 Piano di trattamento del rischio
  • 19. © 2014 BL4CKSWAN S.r.l. – Pagina 19 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760 Framework per la gestione delle identità (digitali) concepito come multipart:  Parte 1 (2011) – Definizione di termini (vocabolario) o concetti di: identità, attributi, gestione delle informazioni delle identità, identificazione e autenticazione  Parte 2 (2015) – Architettura di riferimento e requisiti per un "IMS" (identity management system)  Parte 3 (2016) – Prassi per l'implementazione coerenti con parte 1 e 2, compatibile con ISO/IEC 27002 Focus su "emissione, gestione e uso di dati funzionali a caratterizzare individui, organizzazioni o componenti tecnologici che operano per conto di individui od organizzazioni"
  • 20. © 2014 BL4CKSWAN S.r.l. – Pagina 20 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760-1: ciclo di vita delle identità
  • 21. © 2014 BL4CKSWAN S.r.l. – Pagina 21 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC ISO/IEC 24760-2: caso d'uso di un IMS
  • 22. © 2014 BL4CKSWAN S.r.l. – Pagina 22 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Altre attività di SC27 legate alla Privacy CEN JWG8 costituito a dicembre 2014 su mandato della Commissione per lavorare nell'ambito di "Privacy management in products and services" a partire da: • "how to address and to manage privacy issues during the design, the development, and the production and service provision processes of security technologies"; • "an informative document for the manufacturers and service providers when specifying the privacy management processes with explanations how to realise them"; • "adoption as ENs of ISO/IEC 27009 and of ISO/IEC 29134". Proposta di realizzazione di uno schema di certificazione volto a riconoscere un "Privacy Seal" basato sull'art.39 della proposta di Regolamento. "Profili professionali per la data privacy" basato su e-CF. 22
  • 23. © 2014 BL4CKSWAN S.r.l. – Pagina 23 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Profili professionali: e-CF/UNI 11506 23
  • 24. © 2014 BL4CKSWAN S.r.l. – Pagina 24 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Profili professionali relativi alla privacy La presente proposta di norma vuole utilizzare gli strumenti messi a disposizione dalla collegata “Metodologia per la costruzione di profili professionali basati sul sistema e-CF” per definire i profili professionali di terza generazione relativi alla gestione della privacy. Il mercato nazionale è caratterizzato da anni dall’offerta di numerose proposte di figure professionali di tipo proprietario legate a questa tematica che, in un’ampia eterogeneità, confondono significativamente l’utente finale, sia questo il privato cittadino che vuole migliorare il proprio profilo professionale o un’organizzazione alla ricerca del professionista adatto a coprire le proprie esigenze. La definizione di profili condivisi dal mercato e in grado di armonizzare l’offerta e la domanda in questo settore potrà costituire un valore aggiunto significativo a livello nazionale, permettendo uno sviluppo sinergico da parte dei vari attori e abilitando un miglioramento progressivo delle professionalità legate alla gestione del tema della privacy. 24
  • 25. © 2014 BL4CKSWAN S.r.l. – Pagina 25 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Nuovo GdL UNINFO in SC27 CAMPO DI ATTIVITÀ Sviluppo e manutenzione di norme nazionali e internazionali relative agli aspetti tecnologici e alle tecniche in materia di protezione della Privacy e dei dati personali MIRROR SC27 WG5, CEN JWG8 25 SC27 Italiano GdL "Serie ISO/IEC 27000" GdL "FIS-Firme, Identità, Sigilli elettronici e relativi Servizi" GdL "Profili professionali relativi alla sicurezza informatica" GdL "Tecnologie e tecniche per la protezione della Privacy e dei dati personali"
  • 26. © 2014 BL4CKSWAN S.r.l. – Pagina 26 Privacy e sicurezza informatica secondo i nuovi standard ISO/IEC Contatti fabio.guasconi@bl4ckswan.com www.bl4ckswan.com