SlideShare uma empresa Scribd logo

Evento SMAU - DATA BREACH

Transferir como PPTX, PDF
SWASCAN
SWASCAN

Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach. https://www.swascan.com/it/rischio-data-breach/

Internet
1 de 49
DATA BREACH
Buongiorno. Pierguido Iezzi info@swascan.com - www.swascan.com Avv. Arturo Dell’Isola a.dellisola@sled.legal - www.sled.legal Avv. Marco Vincenti m.vincenti@sled.legal - www.sled.legal
3 Asseprim è la Federazione Nazionale dei Servizi Professionali per le Imprese in seno a Confcommercio Imprese per l’Italia e annovera oltre 700 aziende associate che operano sul territorio nazionale: • nel mercato finanziario ed assicurativo • nel mercato della consulenza aziendale • nel mercato delle risorse umane • nel mercato delle ricerche di mercato • nel mercato del marketing, della comunicazione e degli eventi • nel mercato dell’audiovisivo Le aziende associate usufruiscono di aggiornamenti, formazione tramite corsi, webinar e workshop, eventi ed iniziative di divulgazione culturale. Per tutti gli approfondimenti cerca lo stand di Confcommercio Milano e visita il sito www.asseprim.it
1. Cosa è un Breach: definizione normativa e contestualizzazione 2. I rischi informatici 3. Gli obblighi normativi in materia di sicurezza: • Le misure di sicurezza adeguate (dal punto di vista giuridico / organizzativo • Le misure di sicurezza adeguate (cosa fare prima dal punto di vista tecnico) 4. Violazione avvenuta: • Cosa fare da un punto di vista tecnico • Cosa fare da un punto di vista giuridico 5. Policy gestione Data Breach: perché adottarla 6. Il Registro delle violazioni 7. Le sanzioni 8. I danni 9. Riduzione del rischio compliance, certificazione, assicurazione 10. Riduci dell’80% il rischio di Data Breach
Cos’è un DATA BREACH La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati 5 • Furto • Perdita accidentale • Infedeltà aziendale • Accesso abusivo Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Rischi Informatici 6 Viviamo in un MONDO DIFFICILE E COSTOSO 0 10 20 30 United States Germany japan United Kingdom *France *Italy Australia 2017 cost of cyber crime study from accenture and ponemon institute FY2016 (US$ millions) FY2017 (US$ millions)2 Total cost of cyber crime in seven countries *Historical data does not exist for newly added country samples Legend US$ millions n245 Pierguido Iezzi
Rischi Informatici 7 Viviamo in un MONDO DIFFICILE E COSTOSO Pierguido Iezzi
Rischi Informatici 8 A Word of Data Pierguido Iezzi
Rischi Informatici 9 Aumentano le vulnerabilità Pierguido Iezzi
Rischi Informatici: Come avviene un Data Breach 10 Pierguido Iezzi
Rischi Informatici: un mercato redditizio 11 Pierguido Iezzi
Rischi Informatici: un mercato redditizio 12 Il vero motivo? $355 A RECORDE’ il costo di ogni Data record sanitario nel Dark Web Pierguido Iezzi
Rischi Informatici: Le motivazioni dei Data Breach 13 E’ solo una questione di soldi Pierguido Iezzi
Obblighi Normativi in materia di sicurezza: 14 (ai fini di corretta gestione Data Breach) DATA BREACH PRIMA DURANTE DOPO - Prevenire - Proteggere - Organizzare - Controllare - Formare - Percepire - Reagire - Contenere - Limitare - Ripristinare - Riparare - Risarcire Valutazione preliminare Notificazione Seconda valutazione Registro dei Data Breach Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Obblighi (normativi) (impliciti) in materia di sicurezza 15 ai fini di una corretta (pre)gestione del Data Breach Tempestiva rilevazione Alert (tecnologici / organizzativi) Tempestiva rilevazione DATA BREACH Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Cosa dice esplicitamente il GDPR in relazione al Data Breach - 1 16 Valutazione Data Breach Autorità di controllo Raccolta informazioni per notifica Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Cosa dice esplicitamente il GDPR in relazione al Data Breach - 2 17 Notifica all’Autorità di controllo Attività Autorità di controllo Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Cosa dice esplicitamente il GDPR in relazione al Data Breach - 3 18 Comunicazione agli Interessati Attività Interessati Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Cosa dice esplicitamente il GDPR in relazione al Data Breach - 4 19 Registro dei Data Breach E’ necessario progettare, redigere, alimentare, aggiornare e curare un Registro dei Data Breach in cui «documentare qualsiasi violazione» Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Il contenuto minimo della Notifica all’Autorità di controllo 20 NOTIFICA Natura violazione Misure adottate o di cui si propone adozione Probabili conseguenze violazioni Nome / dati contatto DPO (o altro punto di contatto per informazioni) Categorie / numero approssimativo Interessati coinvolti Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Il contenuto minimo della Notifica all’Autorità di controllo 21 COMUNICAZIONE Natura violazione Misure adottate o di cui si propone adozione Probabili conseguenze violazioni Nome / dati contatto DPO (o altro punto di contatto per informazioni) Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Obblighi Normativi in materia di sicurezza: TECNICO 22 Analisi del rischio E un adempimento OBBLIGATORIO per tutte le Aziende (GDPR articoli 5, 24, 25 e 32) Scopo Principale: è lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. SCOPO FUNZIONALE: Composizione: Analisi del Rischio Organizzativo/Processi e Analisi del Rischio Tecnologico • Fornisce i dati di Input per la Privacy by Design • Fornisce i dati di Input della DPIA (nei casi specificati precedentemente) Pierguido Iezzi
COS’È L’ANALISI DEL RISCHIO? 23 ATTIVITA’ MAPPARE Analisi Rischio Organizzativo Analisi Rischio Tecnologico Processi e Flussi organizzativi coinvolti nel ciclo di vita del dato Asset Tecnologici coinvolti nel ciclo di vita del dato IDENTIFICARE criticità e le minacce Vulnerabilità ANALISI Impatti e Probabilità Impatti e Probabilità VALUTARE Livelli di Rischio Livelli di Rischio Action Plan Definizione del Piano di Azione e/o Accettazione Definizione del Piano di Azione e/o Accettazione Pierguido Iezzi
LE MISURE ADEGUATE? • RD= rappresenta il valore potenziale del danno del singolo rischio/vulnerabilità • P = la probabilità o frequenza del singolo rischio/vulnerabilità • I = valore economico degli impatti (impatti finanaziari, reputazionali, customer satisfaction,…) del singolo rischio/vulnerabilità Cyber RISK= ∑ CRD1,2,n if CRD≤ RD Con CRD = costo di remediation RD= P * I Attività di Analisi del Rischio Tecnologico Identifica le Vulnerabilità Identifica gli Impatti Costo/Benefici Pierguido Iezzi
Violazione avvenuta: Aspetti Tecnici Pierguido Iezzi
Violazione avvenuta: Aspetti Tecnici Pierguido Iezzi
Violazione avvenuta: Aspetti Legali Notifica di data breach Limitare i danni Aggiornare il registro Azionare il «protocollo di risposta» e le procedure Azionare la polizza assicurativa Comunica la violazione all’interessato senza ingiustificato ritardo. Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Aspetti organizzativi della Gestione Data Breach PRINCIPIO DI ACCOUNTABILITY Formazione Evidenza Monitoraggio periodico Registro dei Data Breach Procedura MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE Contrattualizzazione Responsabili Continua attività di indagine Protocollo di risposta Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Il Registro dei Data Breach Obbligo conservazione Registro dei Data Breach • Formato: cartaceo / digitale; • Aggiornamento: continuo; • Tenuto a disposizione del Garante; • Strutturato (integrità e immodificabilità dei dati in esso riportati). Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Il Registro dei Data Breach Contenuto minimo: • cause della violazione; • luogo ove è avvenuta la violazione; • tipologia dei dati personali violati; • effetti e conseguenze della violazione; • piano di intervento e decisioni assunte per la gestione del Data Breach; • comunicazione al Garante ed elementi emersi all’esito delle verifiche effettuate Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Le sanzioni Gli organi competenti Autorità di controllo Tipologia Sanzione correttiva Sanzione amministrativa pecuniaria Cumulative / Alternative Caratteristiche (sanzione amministrativa pecuniaria) La sanziona irrogata deve essere concreta, proporzionata e dissuasiva. Criteri per la quantificazione • natura, gravità e durata della violazione; • carattere doloso o colposo della violazione; • le misura adottate dal titolare o dal responsabile a tutela della privacy; • eventuali recidive; • categoria di dati oggetto della violazione. Procedimento e tempistiche GDPR + Linee guida WP29 + Codice Privacy nov. + D. Lgs. 101/2018 Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Le sanzioni pecuniarie amministrative • Sanzioni amministrative pecuniarie fino a € 10.000.000,00, o per le imprese, fino al 2% del fatturato mondiale totale anno dell’esercizio precedente, se superiore (art. 83, par. 4 GDPR). • Eventuali ulteriori sanzioni nel caso dovessero emergere diverse violazioni. Avv. Arturo Dell’Isola – Avv. Marco Vincenti
I Danni • Danni diretti o Danni agli Interessati, sanzioni, oneri di gestione, spese legali, spese consulenti ecc.) • Danni indiretti o Danni alla propria struttura, danni all’immagine, perdita di chance, svantaggio competitivo ecc.) Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Compliance, Certificazione e Assicurazione I principali strumenti di tutela per il Titolare contri i rischi privacy sono: 1. La conformità alla normativa 2. Le certificazioni 3. La copertura assicurativa Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Perché essere Compliant • Obbligo di legge • Efficientamento dei processi • Riduzione rischi • Elemento distintivo • Criterio di selezione Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Certificazione (specifica ai sensi del GDPR) • Valide quelle accreditate da ACCREDIA (GDPR + D. LGS. 101/2018) • ISDP©10003 o Volontario o Tutte le tipologie di organizzazioni o Requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali o Principi e linee di controllo per completa valutazione della conformità al GDPR dei processi interni Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Assicurazione • Non possibile completa eliminazione rischio (privacy) • Fine: riduzione effetti negativi eventi pregiudizievoli • No sanzioni • Tipologia di rischi assicurabili • Entità premio, compliance normativa e tecnica • Tutela legale • Attenta valutazione dei prodotti Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Il modello operativo SLED per il governo del Sistema di gestione privacy ASSESSMENT DEFINIZIONE DEL MODELLO ASSISTENZA ALLA IMPLEMENTAZIONE ASSISTENZA ALLA GESTIONE ORDINARIA • Esame documentale • Valutazione situazione attuale • Individuazione eventuale Gap Analisys • Redazione progetto Implementazione • Mappatura • Redazione modulistica (informative, atti autorizzativi, contratti ex art. 26 e 28 GDPR) • Predisposizione Registri • Predisposizioni Policy • Valutazione di impatto • Programma per la formazione • Programma di audit interni ed esterni • Ufficio Privacy • Aggiornamento della modulistica , Registri e policy • Assistenza e supporto applicazione privacy by design • Attività Data Protection Officer • Attuazione programma per la formazione • Attuazione degli audit interni ed esterni • Assistenza e supporto certificazioni • Assistenza / gestione istanze di accesso degli Interessati • Assistenza e rappresentanza nel caso di procedimenti avanti all’Autorità di controllo • Assistenza e rappresentanza nel caso di contenzioso avanti all’Autorità giudiziaria ordinaria ASSSISTENZA ALLA GESTIONE STRAORDINARIA Avv. Arturo Dell’Isola – Avv. Marco Vincenti
Riduci dell’80% il rischio di Data Breach? Analizziamo il passato Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? dei siti web e delle web application Sono vulnerabili 100% Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? L’80% delle applicazioni ha una Critical Vulnerability Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco 2017 Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco Marzo 2018 Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco Giugno 2018 Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? 80/20 Vulnerabilità note ≅ 80% Zero days ≅ 20% LA LEGGE DI PARETO Pierguido Iezzi
Riduci dell’80% il rischio di Data Breach? Vulnerability Assessment e Network Scan 1. Riduco dell’80% il rischio di Data Breach 2. Sono GDPR Compliant: Analisi del Rischio Tecnologico Perché? Pierguido Iezzi
Web APP SCAN Security Testing e Security Scan su applicazioni Web per l’identificazione delle vulnerabilità Analisi vulnerabilità di applicazioni terze che possano generare perdita o accessi indesiderati alla Privacy dei dati Conformità al modello OWASP e alle normative vigenti LE FUNZIONALITA’ DI SWASCAN Network SCAN Network Scan ha l’obiettivo di effettuare lo scan delle vulnerabilità di network e device e suggerire come fixarle 3333333333 Security Testing e Security Scan a livello di Network Verifica di conformità con la normativa vigente Controllo delle procedure interne e policy aziendali GDPR Assessment GDPR Self Assessment Effettua l’analisi e fornisce il livello di Compliance GDPR GDPR Gap Analysis Identifica le criticità e priorità di intervento Piano d’azione Determina le attività di riposizionamento Reporting Generazione automatica di un report pdf. Reporting Generazione automatica di report in pdf e csv. Pierguido Iezzi LE FUNZIONALITA’ DI SWASCAN
Grazie mille. Pierguido Iezzi info@swascan.com - www.swascan.com Avv. Arturo Dell’Isola a.dellisola@sled.legal - www.sled.legal Avv. Marco Vincenti m.vincenti@sled.legal - www.sled.legal
DATA BREACH

Recomendados

Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 

Recomendados

Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3PierpaoloDalCortivo
 
Cyber risk e assicurazioni
Cyber risk e assicurazioniCyber risk e assicurazioni
Cyber risk e assicurazioniGiulio Coraggio
 
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)Pierluigi Paganini
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019BTO Educational
 
Assicurazione cyber
Assicurazione cyber Assicurazione cyber
Assicurazione cyberAnna Maria Tripodi
 

Mais conteúdo relacionado

Mais procurados

GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 

Mais procurados (15)

GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 

Semelhante a Evento SMAU - DATA BREACH

Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3PierpaoloDalCortivo
 
Cyber risk e assicurazioni
Cyber risk e assicurazioniCyber risk e assicurazioni
Cyber risk e assicurazioniGiulio Coraggio
 
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)Pierluigi Paganini
 
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019BTO Educational
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2SMAU
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017SMAU
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for HealthcareSWASCAN
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
 
Workshop sicurezza verbania
Workshop sicurezza verbaniaWorkshop sicurezza verbania
Workshop sicurezza verbaniaoscar badoino
 
Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez SMAU
 

Semelhante a Evento SMAU - DATA BREACH (20)

Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3
 
Cyber risk e assicurazioni
Cyber risk e assicurazioniCyber risk e assicurazioni
Cyber risk e assicurazioni
 
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
 
Assicurazione cyber
Assicurazione cyber Assicurazione cyber
Assicurazione cyber
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
Data Breach in sanità
Data Breach in sanitàData Breach in sanità
Data Breach in sanità
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
 
Workshop sicurezza verbania
Workshop sicurezza verbaniaWorkshop sicurezza verbania
Workshop sicurezza verbania
 
Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez
 

Mais de SWASCAN

iot iox per SMAU
iot iox per SMAUiot iox per SMAU
iot iox per SMAUSWASCAN
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Evento abi
Evento abi Evento abi
Evento abi SWASCAN
 
Swascan brochure-eng
Swascan brochure-engSwascan brochure-eng
Swascan brochure-engSWASCAN
 
Brochure SWASCAN-ENG On Premise
Brochure SWASCAN-ENG On PremiseBrochure SWASCAN-ENG On Premise
Brochure SWASCAN-ENG On PremiseSWASCAN
 
Evento - Fintech Districht - Pierguido Iezzi - SWASCAN
Evento - Fintech Districht - Pierguido Iezzi - SWASCANEvento - Fintech Districht - Pierguido Iezzi - SWASCAN
Evento - Fintech Districht - Pierguido Iezzi - SWASCANSWASCAN
 
Brochure swascan ENG
Brochure swascan ENGBrochure swascan ENG
Brochure swascan ENGSWASCAN
 
Valutazione d'impatto sulla protezione (Infografica) DPIA
Valutazione d'impatto sulla protezione (Infografica) DPIAValutazione d'impatto sulla protezione (Infografica) DPIA
Valutazione d'impatto sulla protezione (Infografica) DPIASWASCAN
 
Healthcare infographic
Healthcare infographicHealthcare infographic
Healthcare infographicSWASCAN
 
Code Review di Swascan
Code Review di SwascanCode Review di Swascan
Code Review di SwascanSWASCAN
 
Trattamento dei dati (Infografica)
Trattamento dei dati (Infografica)Trattamento dei dati (Infografica)
Trattamento dei dati (Infografica)SWASCAN
 

Mais de SWASCAN (11)

iot iox per SMAU
iot iox per SMAUiot iox per SMAU
iot iox per SMAU
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
 
Evento abi
Evento abi Evento abi
Evento abi
 
Swascan brochure-eng
Swascan brochure-engSwascan brochure-eng
Swascan brochure-eng
 
Brochure SWASCAN-ENG On Premise
Brochure SWASCAN-ENG On PremiseBrochure SWASCAN-ENG On Premise
Brochure SWASCAN-ENG On Premise
 
Evento - Fintech Districht - Pierguido Iezzi - SWASCAN
Evento - Fintech Districht - Pierguido Iezzi - SWASCANEvento - Fintech Districht - Pierguido Iezzi - SWASCAN
Evento - Fintech Districht - Pierguido Iezzi - SWASCAN
 
Brochure swascan ENG
Brochure swascan ENGBrochure swascan ENG
Brochure swascan ENG
 
Valutazione d'impatto sulla protezione (Infografica) DPIA
Valutazione d'impatto sulla protezione (Infografica) DPIAValutazione d'impatto sulla protezione (Infografica) DPIA
Valutazione d'impatto sulla protezione (Infografica) DPIA
 
Healthcare infographic
Healthcare infographicHealthcare infographic
Healthcare infographic
 
Code Review di Swascan
Code Review di SwascanCode Review di Swascan
Code Review di Swascan
 
Trattamento dei dati (Infografica)
Trattamento dei dati (Infografica)Trattamento dei dati (Infografica)
Trattamento dei dati (Infografica)
 

Evento SMAU - DATA BREACH

  • 2. Buongiorno. Pierguido Iezzi info@swascan.com - www.swascan.com Avv. Arturo Dell’Isola a.dellisola@sled.legal - www.sled.legal Avv. Marco Vincenti m.vincenti@sled.legal - www.sled.legal
  • 3. 3 Asseprim è la Federazione Nazionale dei Servizi Professionali per le Imprese in seno a Confcommercio Imprese per l’Italia e annovera oltre 700 aziende associate che operano sul territorio nazionale: • nel mercato finanziario ed assicurativo • nel mercato della consulenza aziendale • nel mercato delle risorse umane • nel mercato delle ricerche di mercato • nel mercato del marketing, della comunicazione e degli eventi • nel mercato dell’audiovisivo Le aziende associate usufruiscono di aggiornamenti, formazione tramite corsi, webinar e workshop, eventi ed iniziative di divulgazione culturale. Per tutti gli approfondimenti cerca lo stand di Confcommercio Milano e visita il sito www.asseprim.it
  • 4. 1. Cosa è un Breach: definizione normativa e contestualizzazione 2. I rischi informatici 3. Gli obblighi normativi in materia di sicurezza: • Le misure di sicurezza adeguate (dal punto di vista giuridico / organizzativo • Le misure di sicurezza adeguate (cosa fare prima dal punto di vista tecnico) 4. Violazione avvenuta: • Cosa fare da un punto di vista tecnico • Cosa fare da un punto di vista giuridico 5. Policy gestione Data Breach: perché adottarla 6. Il Registro delle violazioni 7. Le sanzioni 8. I danni 9. Riduzione del rischio compliance, certificazione, assicurazione 10. Riduci dell’80% il rischio di Data Breach
  • 5. Cos’è un DATA BREACH La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati 5 • Furto • Perdita accidentale • Infedeltà aziendale • Accesso abusivo Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 6. Rischi Informatici 6 Viviamo in un MONDO DIFFICILE E COSTOSO 0 10 20 30 United States Germany japan United Kingdom *France *Italy Australia 2017 cost of cyber crime study from accenture and ponemon institute FY2016 (US$ millions) FY2017 (US$ millions)2 Total cost of cyber crime in seven countries *Historical data does not exist for newly added country samples Legend US$ millions n245 Pierguido Iezzi
  • 7. Rischi Informatici 7 Viviamo in un MONDO DIFFICILE E COSTOSO Pierguido Iezzi
  • 8. Rischi Informatici 8 A Word of Data Pierguido Iezzi
  • 10. Rischi Informatici: Come avviene un Data Breach 10 Pierguido Iezzi
  • 12. Rischi Informatici: un mercato redditizio 12 Il vero motivo? $355 A RECORDE’ il costo di ogni Data record sanitario nel Dark Web Pierguido Iezzi
  • 13. Rischi Informatici: Le motivazioni dei Data Breach 13 E’ solo una questione di soldi Pierguido Iezzi
  • 14. Obblighi Normativi in materia di sicurezza: 14 (ai fini di corretta gestione Data Breach) DATA BREACH PRIMA DURANTE DOPO - Prevenire - Proteggere - Organizzare - Controllare - Formare - Percepire - Reagire - Contenere - Limitare - Ripristinare - Riparare - Risarcire Valutazione preliminare Notificazione Seconda valutazione Registro dei Data Breach Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 15. Obblighi (normativi) (impliciti) in materia di sicurezza 15 ai fini di una corretta (pre)gestione del Data Breach Tempestiva rilevazione Alert (tecnologici / organizzativi) Tempestiva rilevazione DATA BREACH Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 16. Cosa dice esplicitamente il GDPR in relazione al Data Breach - 1 16 Valutazione Data Breach Autorità di controllo Raccolta informazioni per notifica Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 17. Cosa dice esplicitamente il GDPR in relazione al Data Breach - 2 17 Notifica all’Autorità di controllo Attività Autorità di controllo Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 18. Cosa dice esplicitamente il GDPR in relazione al Data Breach - 3 18 Comunicazione agli Interessati Attività Interessati Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 19. Cosa dice esplicitamente il GDPR in relazione al Data Breach - 4 19 Registro dei Data Breach E’ necessario progettare, redigere, alimentare, aggiornare e curare un Registro dei Data Breach in cui «documentare qualsiasi violazione» Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 20. Il contenuto minimo della Notifica all’Autorità di controllo 20 NOTIFICA Natura violazione Misure adottate o di cui si propone adozione Probabili conseguenze violazioni Nome / dati contatto DPO (o altro punto di contatto per informazioni) Categorie / numero approssimativo Interessati coinvolti Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 21. Il contenuto minimo della Notifica all’Autorità di controllo 21 COMUNICAZIONE Natura violazione Misure adottate o di cui si propone adozione Probabili conseguenze violazioni Nome / dati contatto DPO (o altro punto di contatto per informazioni) Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 22. Obblighi Normativi in materia di sicurezza: TECNICO 22 Analisi del rischio E un adempimento OBBLIGATORIO per tutte le Aziende (GDPR articoli 5, 24, 25 e 32) Scopo Principale: è lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. SCOPO FUNZIONALE: Composizione: Analisi del Rischio Organizzativo/Processi e Analisi del Rischio Tecnologico • Fornisce i dati di Input per la Privacy by Design • Fornisce i dati di Input della DPIA (nei casi specificati precedentemente) Pierguido Iezzi
  • 23. COS’È L’ANALISI DEL RISCHIO? 23 ATTIVITA’ MAPPARE Analisi Rischio Organizzativo Analisi Rischio Tecnologico Processi e Flussi organizzativi coinvolti nel ciclo di vita del dato Asset Tecnologici coinvolti nel ciclo di vita del dato IDENTIFICARE criticità e le minacce Vulnerabilità ANALISI Impatti e Probabilità Impatti e Probabilità VALUTARE Livelli di Rischio Livelli di Rischio Action Plan Definizione del Piano di Azione e/o Accettazione Definizione del Piano di Azione e/o Accettazione Pierguido Iezzi
  • 24. LE MISURE ADEGUATE? • RD= rappresenta il valore potenziale del danno del singolo rischio/vulnerabilità • P = la probabilità o frequenza del singolo rischio/vulnerabilità • I = valore economico degli impatti (impatti finanaziari, reputazionali, customer satisfaction,…) del singolo rischio/vulnerabilità Cyber RISK= ∑ CRD1,2,n if CRD≤ RD Con CRD = costo di remediation RD= P * I Attività di Analisi del Rischio Tecnologico Identifica le Vulnerabilità Identifica gli Impatti Costo/Benefici Pierguido Iezzi
  • 27. Violazione avvenuta: Aspetti Legali Notifica di data breach Limitare i danni Aggiornare il registro Azionare il «protocollo di risposta» e le procedure Azionare la polizza assicurativa Comunica la violazione all’interessato senza ingiustificato ritardo. Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 28. Aspetti organizzativi della Gestione Data Breach PRINCIPIO DI ACCOUNTABILITY Formazione Evidenza Monitoraggio periodico Registro dei Data Breach Procedura MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE Contrattualizzazione Responsabili Continua attività di indagine Protocollo di risposta Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 29. Il Registro dei Data Breach Obbligo conservazione Registro dei Data Breach • Formato: cartaceo / digitale; • Aggiornamento: continuo; • Tenuto a disposizione del Garante; • Strutturato (integrità e immodificabilità dei dati in esso riportati). Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 30. Il Registro dei Data Breach Contenuto minimo: • cause della violazione; • luogo ove è avvenuta la violazione; • tipologia dei dati personali violati; • effetti e conseguenze della violazione; • piano di intervento e decisioni assunte per la gestione del Data Breach; • comunicazione al Garante ed elementi emersi all’esito delle verifiche effettuate Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 31. Le sanzioni Gli organi competenti Autorità di controllo Tipologia Sanzione correttiva Sanzione amministrativa pecuniaria Cumulative / Alternative Caratteristiche (sanzione amministrativa pecuniaria) La sanziona irrogata deve essere concreta, proporzionata e dissuasiva. Criteri per la quantificazione • natura, gravità e durata della violazione; • carattere doloso o colposo della violazione; • le misura adottate dal titolare o dal responsabile a tutela della privacy; • eventuali recidive; • categoria di dati oggetto della violazione. Procedimento e tempistiche GDPR + Linee guida WP29 + Codice Privacy nov. + D. Lgs. 101/2018 Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 32. Le sanzioni pecuniarie amministrative • Sanzioni amministrative pecuniarie fino a € 10.000.000,00, o per le imprese, fino al 2% del fatturato mondiale totale anno dell’esercizio precedente, se superiore (art. 83, par. 4 GDPR). • Eventuali ulteriori sanzioni nel caso dovessero emergere diverse violazioni. Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 33. I Danni • Danni diretti o Danni agli Interessati, sanzioni, oneri di gestione, spese legali, spese consulenti ecc.) • Danni indiretti o Danni alla propria struttura, danni all’immagine, perdita di chance, svantaggio competitivo ecc.) Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 34. Compliance, Certificazione e Assicurazione I principali strumenti di tutela per il Titolare contri i rischi privacy sono: 1. La conformità alla normativa 2. Le certificazioni 3. La copertura assicurativa Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 35. Perché essere Compliant • Obbligo di legge • Efficientamento dei processi • Riduzione rischi • Elemento distintivo • Criterio di selezione Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 36. Certificazione (specifica ai sensi del GDPR) • Valide quelle accreditate da ACCREDIA (GDPR + D. LGS. 101/2018) • ISDP©10003 o Volontario o Tutte le tipologie di organizzazioni o Requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali o Principi e linee di controllo per completa valutazione della conformità al GDPR dei processi interni Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 37. Assicurazione • Non possibile completa eliminazione rischio (privacy) • Fine: riduzione effetti negativi eventi pregiudizievoli • No sanzioni • Tipologia di rischi assicurabili • Entità premio, compliance normativa e tecnica • Tutela legale • Attenta valutazione dei prodotti Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 38. Il modello operativo SLED per il governo del Sistema di gestione privacy ASSESSMENT DEFINIZIONE DEL MODELLO ASSISTENZA ALLA IMPLEMENTAZIONE ASSISTENZA ALLA GESTIONE ORDINARIA • Esame documentale • Valutazione situazione attuale • Individuazione eventuale Gap Analisys • Redazione progetto Implementazione • Mappatura • Redazione modulistica (informative, atti autorizzativi, contratti ex art. 26 e 28 GDPR) • Predisposizione Registri • Predisposizioni Policy • Valutazione di impatto • Programma per la formazione • Programma di audit interni ed esterni • Ufficio Privacy • Aggiornamento della modulistica , Registri e policy • Assistenza e supporto applicazione privacy by design • Attività Data Protection Officer • Attuazione programma per la formazione • Attuazione degli audit interni ed esterni • Assistenza e supporto certificazioni • Assistenza / gestione istanze di accesso degli Interessati • Assistenza e rappresentanza nel caso di procedimenti avanti all’Autorità di controllo • Assistenza e rappresentanza nel caso di contenzioso avanti all’Autorità giudiziaria ordinaria ASSSISTENZA ALLA GESTIONE STRAORDINARIA Avv. Arturo Dell’Isola – Avv. Marco Vincenti
  • 39. Riduci dell’80% il rischio di Data Breach? Analizziamo il passato Pierguido Iezzi
  • 40. Riduci dell’80% il rischio di Data Breach? dei siti web e delle web application Sono vulnerabili 100% Pierguido Iezzi
  • 41. Riduci dell’80% il rischio di Data Breach? L’80% delle applicazioni ha una Critical Vulnerability Pierguido Iezzi
  • 42. Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco 2017 Pierguido Iezzi
  • 43. Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco Marzo 2018 Pierguido Iezzi
  • 44. Riduci dell’80% il rischio di Data Breach? I Vettori di Attacco Giugno 2018 Pierguido Iezzi
  • 45. Riduci dell’80% il rischio di Data Breach? 80/20 Vulnerabilità note ≅ 80% Zero days ≅ 20% LA LEGGE DI PARETO Pierguido Iezzi
  • 46. Riduci dell’80% il rischio di Data Breach? Vulnerability Assessment e Network Scan 1. Riduco dell’80% il rischio di Data Breach 2. Sono GDPR Compliant: Analisi del Rischio Tecnologico Perché? Pierguido Iezzi
  • 47. Web APP SCAN Security Testing e Security Scan su applicazioni Web per l’identificazione delle vulnerabilità Analisi vulnerabilità di applicazioni terze che possano generare perdita o accessi indesiderati alla Privacy dei dati Conformità al modello OWASP e alle normative vigenti LE FUNZIONALITA’ DI SWASCAN Network SCAN Network Scan ha l’obiettivo di effettuare lo scan delle vulnerabilità di network e device e suggerire come fixarle 3333333333 Security Testing e Security Scan a livello di Network Verifica di conformità con la normativa vigente Controllo delle procedure interne e policy aziendali GDPR Assessment GDPR Self Assessment Effettua l’analisi e fornisce il livello di Compliance GDPR GDPR Gap Analysis Identifica le criticità e priorità di intervento Piano d’azione Determina le attività di riposizionamento Reporting Generazione automatica di un report pdf. Reporting Generazione automatica di report in pdf e csv. Pierguido Iezzi LE FUNZIONALITA’ DI SWASCAN
  • 48. Grazie mille. Pierguido Iezzi info@swascan.com - www.swascan.com Avv. Arturo Dell’Isola a.dellisola@sled.legal - www.sled.legal Avv. Marco Vincenti m.vincenti@sled.legal - www.sled.legal