Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
3. 3
Asseprim è la Federazione Nazionale dei Servizi Professionali per le Imprese in seno a Confcommercio
Imprese per l’Italia e annovera oltre 700 aziende associate che operano sul territorio nazionale:
• nel mercato finanziario ed assicurativo
• nel mercato della consulenza aziendale
• nel mercato delle risorse umane
• nel mercato delle ricerche di mercato
• nel mercato del marketing, della comunicazione e degli eventi
• nel mercato dell’audiovisivo
Le aziende associate usufruiscono di aggiornamenti, formazione tramite corsi, webinar e workshop, eventi ed
iniziative di divulgazione culturale.
Per tutti gli approfondimenti cerca lo stand di Confcommercio Milano e visita il sito www.asseprim.it
4. 1. Cosa è un Breach: definizione normativa e contestualizzazione
2. I rischi informatici
3. Gli obblighi normativi in materia di sicurezza:
• Le misure di sicurezza adeguate (dal punto di vista giuridico / organizzativo
• Le misure di sicurezza adeguate (cosa fare prima dal punto di vista tecnico)
4. Violazione avvenuta:
• Cosa fare da un punto di vista tecnico
• Cosa fare da un punto di vista giuridico
5. Policy gestione Data Breach: perché adottarla
6. Il Registro delle violazioni
7. Le sanzioni
8. I danni
9. Riduzione del rischio compliance, certificazione, assicurazione
10. Riduci dell’80% il rischio di Data Breach
5. Cos’è un DATA
BREACH
La violazione di sicurezza che
comporta accidentalmente o in modo illecito la
distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l’accesso ai dati personali trasmessi,
conservati o comunque trattati
5
• Furto
• Perdita accidentale
• Infedeltà aziendale
• Accesso abusivo
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
6. Rischi
Informatici
6
Viviamo in un MONDO
DIFFICILE E COSTOSO
0
10
20
30
United
States
Germany japan United
Kingdom
*France *Italy Australia
2017 cost of cyber crime study from
accenture and ponemon institute
FY2016 (US$ millions)
FY2017 (US$ millions)2
Total cost of
cyber crime in
seven countries
*Historical data does not
exist for newly added
country samples
Legend
US$ millions
n245
Pierguido Iezzi
14. Obblighi
Normativi in
materia di
sicurezza:
14
(ai fini di corretta gestione
Data Breach)
DATA BREACH
PRIMA DURANTE DOPO
- Prevenire
- Proteggere
- Organizzare
- Controllare
- Formare
- Percepire
- Reagire
- Contenere
- Limitare
- Ripristinare
- Riparare
- Risarcire
Valutazione preliminare Notificazione Seconda valutazione Registro dei Data Breach
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
15. Obblighi (normativi)
(impliciti) in materia
di sicurezza
15
ai fini di una corretta
(pre)gestione del Data Breach
Tempestiva rilevazione
Alert (tecnologici / organizzativi)
Tempestiva rilevazione
DATA BREACH
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
16. Cosa dice
esplicitamente il
GDPR in relazione al
Data Breach - 1
16
Valutazione Data Breach
Autorità di controllo
Raccolta informazioni per notifica
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
17. Cosa dice
esplicitamente il
GDPR in relazione al
Data Breach - 2
17
Notifica all’Autorità di controllo
Attività Autorità di controllo
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
18. Cosa dice
esplicitamente il
GDPR in relazione al
Data Breach - 3
18
Comunicazione agli Interessati
Attività Interessati
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
19. Cosa dice
esplicitamente il
GDPR in relazione al
Data Breach - 4
19
Registro dei Data Breach
E’ necessario progettare, redigere,
alimentare, aggiornare e curare un
Registro dei Data Breach in cui
«documentare qualsiasi violazione»
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
20. Il contenuto minimo
della Notifica
all’Autorità di
controllo
20
NOTIFICA
Natura violazione
Misure adottate o di cui si propone
adozione
Probabili
conseguenze
violazioni
Nome / dati contatto DPO (o altro
punto di contatto per informazioni)
Categorie / numero
approssimativo Interessati
coinvolti
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
21. Il contenuto minimo
della Notifica
all’Autorità di
controllo
21
COMUNICAZIONE
Natura violazione
Misure adottate o di cui si propone
adozione
Probabili
conseguenze
violazioni
Nome / dati contatto DPO (o altro
punto di contatto per informazioni)
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
22. Obblighi Normativi
in materia di
sicurezza: TECNICO
22
Analisi del rischio
E un adempimento OBBLIGATORIO per tutte le
Aziende (GDPR articoli 5, 24, 25 e 32)
Scopo Principale: è lo strumento atto a
dimostrare l’adeguatezza delle misure
implementate a tutela dei dati trattati.
SCOPO FUNZIONALE:
Composizione: Analisi del Rischio
Organizzativo/Processi e Analisi del Rischio
Tecnologico
• Fornisce i dati di Input per la Privacy by Design
• Fornisce i dati di Input della DPIA (nei casi
specificati precedentemente)
Pierguido Iezzi
23. COS’È L’ANALISI
DEL RISCHIO?
23
ATTIVITA’
MAPPARE
Analisi Rischio
Organizzativo
Analisi Rischio
Tecnologico
Processi e Flussi
organizzativi coinvolti nel
ciclo di vita del dato
Asset Tecnologici
coinvolti nel ciclo di
vita del dato
IDENTIFICARE criticità e le minacce Vulnerabilità
ANALISI Impatti e Probabilità Impatti e Probabilità
VALUTARE Livelli di Rischio Livelli di Rischio
Action Plan Definizione del Piano di
Azione e/o Accettazione
Definizione del Piano di
Azione e/o Accettazione
Pierguido Iezzi
24. LE MISURE
ADEGUATE?
• RD= rappresenta il valore potenziale del
danno del singolo rischio/vulnerabilità
• P = la probabilità o frequenza del singolo
rischio/vulnerabilità
• I = valore economico degli impatti (impatti
finanaziari, reputazionali, customer
satisfaction,…) del singolo
rischio/vulnerabilità
Cyber RISK= ∑ CRD1,2,n
if CRD≤ RD
Con CRD = costo di remediation
RD= P * I
Attività di
Analisi del
Rischio
Tecnologico
Identifica le
Vulnerabilità
Identifica gli
Impatti
Costo/Benefici
Pierguido Iezzi
27. Violazione
avvenuta: Aspetti
Legali
Notifica di data breach
Limitare i danni Aggiornare il registro
Azionare il
«protocollo di risposta»
e le procedure
Azionare la polizza
assicurativa
Comunica la violazione
all’interessato senza
ingiustificato ritardo.
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
28. Aspetti
organizzativi della
Gestione Data
Breach
PRINCIPIO DI
ACCOUNTABILITY
Formazione Evidenza
Monitoraggio
periodico
Registro dei
Data Breach
Procedura
MISURE TECNICHE ED
ORGANIZZATIVE ADEGUATE
Contrattualizzazione
Responsabili
Continua attività di
indagine
Protocollo di risposta
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
29. Il Registro dei Data
Breach
Obbligo conservazione Registro
dei Data Breach
• Formato: cartaceo / digitale;
• Aggiornamento: continuo;
• Tenuto a disposizione del Garante;
• Strutturato (integrità e
immodificabilità dei dati in esso
riportati).
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
30. Il Registro dei Data
Breach
Contenuto minimo:
• cause della violazione;
• luogo ove è avvenuta la violazione;
• tipologia dei dati personali violati;
• effetti e conseguenze della violazione;
• piano di intervento e decisioni assunte
per la gestione del Data Breach;
• comunicazione al Garante ed elementi
emersi all’esito delle verifiche effettuate
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
31. Le sanzioni
Gli organi competenti Autorità di controllo
Tipologia
Sanzione correttiva
Sanzione amministrativa pecuniaria
Cumulative / Alternative
Caratteristiche
(sanzione amministrativa
pecuniaria)
La sanziona irrogata deve essere
concreta, proporzionata e dissuasiva.
Criteri per la quantificazione
• natura, gravità e durata della
violazione;
• carattere doloso o colposo della
violazione;
• le misura adottate dal titolare o
dal responsabile a tutela della
privacy;
• eventuali recidive;
• categoria di dati oggetto della
violazione.
Procedimento e tempistiche
GDPR + Linee guida WP29 + Codice
Privacy nov. + D. Lgs. 101/2018
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
32. Le sanzioni
pecuniarie
amministrative
• Sanzioni amministrative pecuniarie fino a €
10.000.000,00, o per le imprese, fino al 2% del
fatturato mondiale totale anno dell’esercizio
precedente, se superiore (art. 83, par. 4 GDPR).
• Eventuali ulteriori sanzioni nel caso dovessero
emergere diverse violazioni.
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
33. I Danni • Danni diretti
o Danni agli Interessati, sanzioni, oneri di gestione, spese legali,
spese consulenti ecc.)
• Danni indiretti
o Danni alla propria struttura, danni all’immagine, perdita di
chance, svantaggio competitivo ecc.)
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
34. Compliance,
Certificazione e
Assicurazione
I principali strumenti di tutela per il
Titolare contri i rischi privacy sono:
1. La conformità alla normativa
2. Le certificazioni
3. La copertura assicurativa
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
35. Perché essere
Compliant
• Obbligo di legge
• Efficientamento dei processi
• Riduzione rischi
• Elemento distintivo
• Criterio di selezione
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
37. Assicurazione • Non possibile completa eliminazione rischio (privacy)
• Fine: riduzione effetti negativi eventi pregiudizievoli
• No sanzioni
• Tipologia di rischi assicurabili
• Entità premio, compliance normativa e tecnica
• Tutela legale
• Attenta valutazione dei prodotti
Avv. Arturo Dell’Isola – Avv. Marco Vincenti
38. Il modello operativo
SLED per il governo
del Sistema di
gestione
privacy
ASSESSMENT
DEFINIZIONE DEL
MODELLO
ASSISTENZA ALLA
IMPLEMENTAZIONE
ASSISTENZA ALLA
GESTIONE
ORDINARIA
• Esame documentale
• Valutazione situazione attuale
• Individuazione eventuale Gap Analisys
• Redazione progetto Implementazione
• Mappatura
• Redazione modulistica (informative, atti autorizzativi, contratti ex art. 26 e 28 GDPR)
• Predisposizione Registri
• Predisposizioni Policy
• Valutazione di impatto
• Programma per la formazione
• Programma di audit interni ed esterni
• Ufficio Privacy
• Aggiornamento della modulistica , Registri e policy
• Assistenza e supporto applicazione privacy by design
• Attività Data Protection Officer
• Attuazione programma per la formazione
• Attuazione degli audit interni ed esterni
• Assistenza e supporto certificazioni
• Assistenza / gestione istanze di accesso degli Interessati
• Assistenza e rappresentanza nel caso di procedimenti
avanti all’Autorità di controllo
• Assistenza e rappresentanza nel caso di contenzioso
avanti all’Autorità giudiziaria ordinaria
ASSSISTENZA
ALLA GESTIONE
STRAORDINARIA
Avv. Arturo Dell’Isola –
Avv. Marco Vincenti
45. Riduci dell’80% il
rischio di Data
Breach? 80/20 Vulnerabilità
note
≅ 80%
Zero days
≅ 20%
LA LEGGE DI PARETO
Pierguido Iezzi
46. Riduci dell’80% il
rischio di Data
Breach?
Vulnerability Assessment
e Network Scan
1. Riduco dell’80% il rischio di Data Breach
2. Sono GDPR Compliant: Analisi del Rischio Tecnologico
Perché?
Pierguido Iezzi
47. Web APP SCAN
Security Testing e
Security Scan su
applicazioni Web per
l’identificazione delle
vulnerabilità
Analisi vulnerabilità di
applicazioni terze che
possano generare perdita o
accessi indesiderati alla
Privacy dei dati
Conformità al modello
OWASP e alle normative
vigenti
LE FUNZIONALITA’ DI SWASCAN
Network SCAN
Network Scan ha l’obiettivo
di effettuare lo scan delle
vulnerabilità di network e
device e suggerire come
fixarle
3333333333
Security Testing e Security
Scan a livello di Network
Verifica di conformità con
la normativa vigente
Controllo delle
procedure interne e
policy aziendali
GDPR Assessment
GDPR Self Assessment
Effettua l’analisi e fornisce
il livello di Compliance
GDPR
GDPR Gap Analysis
Identifica le criticità e
priorità di intervento
Piano d’azione
Determina le attività di
riposizionamento
Reporting
Generazione automatica
di un report pdf.
Reporting
Generazione automatica
di report in pdf e csv.
Pierguido Iezzi
LE
FUNZIONALITA’
DI SWASCAN
48. Grazie mille.
Pierguido Iezzi
info@swascan.com - www.swascan.com
Avv. Arturo Dell’Isola
a.dellisola@sled.legal - www.sled.legal
Avv. Marco Vincenti
m.vincenti@sled.legal - www.sled.legal