La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IBM Global Services La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005.

Presentazioni simili


Presentazione sul tema: "IBM Global Services La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005."— Transcript della presentazione:

1 IBM Global Services La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005

2 © Copyright IBM Corporation 2005 IBM Global Services 1 Agenda Legge 196/03 e misure di sicurezza Sicurezza e privacy: approccio e metodologia Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita alla norma HIPAA (Health Insurance Portability and Accountability Act) IBM Data Governance Council

3 © Copyright IBM Corporation 2005 IBM Global Services 2 Agenda Legge 196/03 e misure di sicurezza

4 © Copyright IBM Corporation 2005 IBM Global Services 3 Uno sguardo allo schema di sintesi della legge 196/03 : Codice in materia di protezione dei dati personali D.lgs 196/03 richiede Titolare Responsabili Incaricati Organizzazione Adempimenti Formali Informativa Consenso Notifica Autorizzazione del Garante DPSS Adempimenti Strutturali Inventario e selezione banche dati Analisi dei Rischi Contromisure di sicurezza Continuità del Business Formazione Procedure di risposta verso per PERSONA FISICA O GIURIDICA cui si riferiscono i dati e le informazioni (dipendenti, clienti, fornitori, abbonati.....) Interessato per evitare Sanzioni Penali Sanzioni Amministrative

5 © Copyright IBM Corporation 2005 IBM Global Services 4 Il legislatore pone la sicurezza come condizione fondamentale al trattamento di dati personali La Legge rende primaria la necessità di realizzare alcune misure di Sicurezza atte a custodire e proteggere i dati personali e le altre informazioni di valore per l'azienda Privacy Sicurezza Protezione dei dati personali Fiducia dellutente nel servizio Non si può' gestire la privacy senza una solida sicurezza!!

6 © Copyright IBM Corporation 2005 IBM Global Services 5 Le misure di sicurezza previste dalla legge: misure idonee e misure minime n Sono linsieme delle misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano il livello di protezione necessario a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Cosa sono? n Le misure di sicurezza devono essere: n preventive n obbligatorie n correlate al mezzo utilizzato n crescenti Che caratteristiche devono avere? n Idonee (è lobiettivo di sicurezza della legge) Tutte le misure di sicurezza necessarie a minimizzare i rischi in funzione delle caratteristiche organizzative e tecniche dellazienda nonché dellevoluzione tecnologica n Minime (è il livello minimo delle misure idonee) devono essere adottate indipendentemente dalle caratteristiche dellazienda. Hanno le seguenti caratteristiche: Rappresentano il livello minimale e non sono sufficienti a rappresentare lobiettivo voluto dalla legge (Misure Idonee) Elenco pre-definito e identificate nel disciplinare tecnico incluso nel codice Privacy (all. B) Quali possono essere? Comuni Giudiz. Sensib. Sanit. Genetici

7 © Copyright IBM Corporation 2005 IBM Global Services 6 Sicurezza e privacy: approccio e metodologia Agenda

8 © Copyright IBM Corporation 2005 IBM Global Services 7 La corretta applicazione e gestione delle misure di sicurezza richiede il raggiungimento di specifici requisiti La sicurezza delle informazioni permette di governare e proteggere il valore e i requisiti dei dati Dato Proteggere, custodire, gestire il dato in funzione del valore assegnato Riservatezza Prevenire modifiche / alterazioni del contenuto / valore del dato Integrità Garantire il servizio informatico e la disponibilità dei dati a fronte di possibili interruzioni Continuità Rendere accessibile il dato solo a chi ne ha necessità per svolgere il proprio lavoro Disponibilità Gestire in modo controllato le attività attraverso i sistemi informatici Governo Ricostruire chi ha fatto cosa per garantire accuratezza e completezza dei dati Verificabilità

9 © Copyright IBM Corporation 2005 IBM Global Services 8 Rischio: - legale - di business - contrattuale La sicurezza dei dati personali riguarda le risorse da proteggere, le responsabilità da definire e si realizza attraverso il bilanciamento di interventi orientati al contenimento dei maggiori rischi... Dato personale/sensibile Software di base Applicazioni informatiche Hardware Rete Archivi... Rischio Risorse ResponsabilitàMisure di Sicurezza Proteggere Gestire Usare Acquisire/Alienare Organizzative, normative e tecniche di - Protezione - Controllo - Verifica

10 © Copyright IBM Corporation 2005 IBM Global Services 9 Sicurezza nei trattamenti informatici tipologia di trattamento e sua finalità individuazione transazioni e output distribuzione e destinatari eliminazione duplicati PC e Workstation necessità operative delle banche dati salvate protezione fisica protezione logica output e supporti removibili Continuità del servizio gestione degli archivi operazioni di back-up ripristino attività informatiche gestione degli incidenti Sicurezza logica identificazione e autenticazione software di autenticazione Sistema di autorizzazione Crittografia dei dati accessi remoti accessi al web antivirus Sicurezza della Rete hardware e software connessioni interne connessioni esterne Sicurezza Fisica installazioni, reti, aree riservate supporti magnetici uffici perimetri Per realizzare le misure di sicurezza dei dati personali è necessario verificarne lo stato attuale, il conseguente livello di rischio e individuare le adeguate contromisure Sviluppo e manutenzione applicazioni test e sviluppo utilizzo di dati appositi/mascheramento dati conversione degli archivi rilascio in produzione Verifica e controllo requisiti di audit log informatici registrazione degli accessi monitoring territorio Azienda Sanitaria Pubblica Amm.ne Locale Pazienti Fornitori Dipendenti Pubblico Aziende collegate ASL Forze di Polizia Operatori sanitari PARC Ospedali Volontari

11 © Copyright IBM Corporation 2005 IBM Global Services 10 Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per il servizio fornito e per la sua tutela Comprensione dell Ecosistema Sanitario Individuazione delle scoperture di sicurezza e gap vs la legge (organizzative e tecnologiche) Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799 –ISO/IEC 27001:2005) Assets Security

12 © Copyright IBM Corporation 2005 IBM Global Services 11 Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita alla norma HIPAA (Health Insurance Portability and Accountability Act) Agenda

13 © Copyright IBM Corporation 2005 IBM Global Services 12 Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Adeguamento Privacy (196/03) Attività di supporto necessario alla realizzazione degli adempimenti formali della Legge 196/03, delle Misure Minime di Sicurezza ed alla stesura del Documento Programmatico sulla Sicurezza Adempimenti formali (lettere di incarico, istruzioni, informativa, consenso, notificazione,..) 3 Memoranda per i ruoli di legge individuati 4 Inventario banche dati 1 Risultati Assessment Inventario banche dati Adempimenti formali Adempimenti sostanziali Banche dati sensibili Banche dati personali Analisi dei rischi Trattamento automatizzato Trattamento manuale Individuazione delle misure di sicurezza Organizzative Normative Tecnologiche Formazione e sensibilizzazione del personale Responsabili del trattamento Amministratori di sistema Incaricati Redazione del DPS Attività previste Evidenza delle aree di vulnerabilità e rischi correlati. 2 Misure di sicurezza minime o idonee 5 DPS 8 Flussi procedurali 6 Package di formazione 7

14 © Copyright IBM Corporation 2005 IBM Global Services 13 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione Definizione di processi, procedure e tecnologie per la gestione della Identità digitale, intesa come rappresentazione di un utente e dei relativi diritti di autenticazione ed autorizzazione allinterno dellorganizzazione sanitaria, in funzione della criticita dei dati. Identity Management creazione, propagazione e gestione cemtralizzata delle informazioni che descrivono un utente. Access Management creazione, propagazione e gestione delle informazioni che servono per definire i diritti di autenticazione e autorizzazione dellutente in relazione a risorse, servizi e dati. Strong Authentication adozione di strumenti per il riconoscimento degli utenti (token, smart card, impronta digitale,....) Single SignOn Propagazione e sincronizzazione delle credenziali di accesso alla rete, sistemi, applicazioni Produttività e qualità del servizio ottimizzare processo di gestione account servizi per lutente (Passw.Mgmt., SSO,..) Amministrazione controllata e delegabile consolidamento delle credenziali dellutente allinterno di un unico repository centralizzato (LDAP) Sicurezza Politiche di sicurezza rafforzate Costi Amministrazione della sicurezza Audit e controllo Help desk Time to market Risposta dinamica al business Linee guida per lo sviluppo di nuove applicazioni

15 © Copyright IBM Corporation 2005 IBM Global Services 14 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione basati sul ruolo dellutente Laccesso ai sistemi e ai dati e stabilito sulla base del ruolo/mansione dellutente e della tipologia dei dati

16 © Copyright IBM Corporation 2005 IBM Global Services 15 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione: strong authentication Utente

17 © Copyright IBM Corporation 2005 IBM Global Services 16 Le principali soluzioni IBM Soluzione di Disaster Recovery Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days HoursMinutes RTO $ Recovery Rapid Recovery Continuity Centro Primario Centro Alternativo Off-Site Storage Scenario di disastro Off-Site and Hot Site

18 © Copyright IBM Corporation 2005 IBM Global Services 17 Le principali soluzioni IBM Soluzione di Business Continuity Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days HoursMinutes RTO $ Recovery Rapid Recovery Continuity Centro Alternativo Scenario di disastro Continuity DUPLICAZIONE ON-LINE DATI FIBRA OTTICA (km) Centro Primario

19 © Copyright IBM Corporation 2005 IBM Global Services 18 Le principali soluzioni IBM I centri di Business Continuity & Disaster Recovery di IBM BCRS Center – Settimo Milanese (Milan) Servizi offerti Progettazione, realizzazione e gestione dei servizi e delle soluzioni di Disaster Recovery, High Availability e Business Continuity Centro di Disaster Recovery : primo in Italia per dimensioni, capacità ed eterogeneità di apparati, livelli di continuità garantiti e servizi forniti BCRS – DR Centers 140 centri worldwide 71 in Europa 2 in Italia BCRS Center – Worlwide

20 © Copyright IBM Corporation 2005 IBM Global Services 19 Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS ISO/IEC BS7799 parte I should Elenca le best practice suggerite per implementare un programma per la sicurezza delle informazioni BS 7799 parte II shall Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. 11. Compliance 1. Security Policy 2. Organization of Information Security 3. Asset management 9. Information Security Incident Management 10. Business Continuity Management 4. Human Resources security 5. Physical and environmental Security 6. Communication and Operations management 7. Access Control 8. Information System Acquisition, Development and Maint.

21 © Copyright IBM Corporation 2005 IBM Global Services 20 Le principali soluzioni IBM Conformita alla norma HIPAA Assicurare la Confidenzialità, lIntegrità e la Disponibilità dei dati sanitari A Includere tutti gli aspetti della Security B Implementazione customizzata in relazione alla dimensione e complessità dellorganizzazione C Soluzioni non imposte ma adattabili ai progressi tecnologici D ObiettiviSecurity Guidelines Regole generali Sicurezza amministrativa Sicurezza fisica Sicurezza Tecnologica Requisiti organizzativi Politiche, procedure, documenti LHIPAA definisce le regole e le linee guida che un Organismo sanitario pubblico o privato deve adottare per la protezione dei PHI (Protected Health Information: qualsiasi informazione individuale relativa allo stato di salute, condizione, trattamento, che rivelino lidentità dellindividuo o rappresentino una base importante per risalire allidentità dello stesso )

22 © Copyright IBM Corporation 2005 IBM Global Services 21 Le principali soluzioni IBM Conformita alla norma HIPAA: lofferta di consulenza di IBM Lapproccio IBM consente lintegrazione degli adempimenti previsti dalle Leggi nazionali e internazionali sulla Privacy con lHIPAA

23 © Copyright IBM Corporation 2005 IBM Global Services 22 Case history Istituto Clinico in Lombardia Obiettivi Conformita alla legge 196/03 per le Cliniche del Gruppo. Soluzione Servizi di consulenza, alla Holding e alle Cliniche del Gruppo, per: Adempimenti formali (notifica, nomine, etc) Inventario banche dati Analisi dei rischi DPS Formazione Proposte di progetti di miglioramento del livello di sìcurezza Obiettivi Conformita alla legge 196/03 per le Cliniche del Gruppo. Soluzione Servizi di consulenza, alla Holding e alle Cliniche del Gruppo, per: Adempimenti formali (notifica, nomine, etc) Inventario banche dati Analisi dei rischi DPS Formazione Proposte di progetti di miglioramento del livello di sìcurezza

24 © Copyright IBM Corporation 2005 IBM Global Services 23 Tivoli Security Compliance Manager permette di Controllare sistemi ed applicazioni per evidenziare possibili vulnerabilità (qualità della password) Verificare la presenza di patch di sicurezza e livelli di software appropriati Integrato con Cisco Trust Agent, Cisco ACS, Tivoli Configuration Manager per effettuare la remediation dei pc. Cisco Self-Defending Network Identifies, prevents and adapts to threats Limits damage from viruses and worms Delivers new system-level threat defense & identity management capabilities + Proposta per la conformita dei pc che si connettono alla rete alle policy di sicurezza dellistituto clinico Case history

25 © Copyright IBM Corporation 2005 IBM Global Services 24 IBM Data Governance Council Agenda

26 © Copyright IBM Corporation 2005 IBM Global Services 25 IBM Data Governance Council Il 30 Giugno 2005 lIBM ha costituito il Data Governance Council A questo Council partecipano altri software partners e gruppi di utenti (principalmente dal mondo bancario e governativo) ad oggi circa 40 Il Council ha un approccio datacentrico, focalizzato sullinterazione tra dati e processi di business Dal punto di vista del business lottica è quello di ottimizzare i processi, con gli aspetti di sicurezza, privacy e compliance Dal punto di vista tecnico lo scopo è quello di legare il data modelling, le definizioni dei metadati e le attività per la gestione del ciclo di vita degli stessi Il Council ha lo scopo di produrre soluzioni che risolvano i problemi evidenziati, mediante lutilizzo degli strumenti disponibli.

27 © Copyright IBM Corporation 2005 IBM Global Services 26 La necessità di un approcio datacentrico Lesperienza della Data Governance di IBM Il modello di sicurezza dei dati Lesperienza quotidiana mostra come sia difficile per la direzione aziendale comprendere i modelli di sicurezza: –La terminologia relativa alla sicurezza non è di uso comune (es. non-repudiation, message digest, provisioning) –Le funzioni di sicurezza non sono spesso ben comprese e confuse dai non esperti (eg, authentication vs authorization vs access control) –Il management percepisce i modelli di sicurezza come complessi E necessario che i modelli di sicurezza diventino meno tecnici e più orientati ai processi di business, quindi comprensibili dal management.

28 © Copyright IBM Corporation 2005 IBM Global Services 27 Un modello di sicurezza centrato sul controllo dei dati I modelli di sicurezza esistenti, basati sulla tecnologia devono essere ripensati unottica Datacentrica La protezione dei dati e il controllo del loro uso diventa indispensabile per la compliance con le varie normative (SOX, HIPAA, Legge Privacy, etc.) e per avere processi efficienti

29 © Copyright IBM Corporation 2005 IBM Global Services 28 Data-Centric Security Model DATA Standards Policy Regulatory Strategy Usage Type Retention Owner Origin Protection Risk Sales Human Resources Legal Product Design Marketing LOBs Corporate & Regulatory Guidelines Intrusion Prevention Physical Authentication Confidentiality Firewalls VPNs Authorization Hardened OS Anti-virus Integrity Network Authentication Security Zones Application Layer & Perimeter Security Infrastructure Data Classification Data Owner & Custodian

30 IBM Global Services Grazie per lattenzione

31 © Copyright IBM Corporation 2005 IBM Global Services 30 Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS ISO/IEC Definizione delle Politiche Definizione dellAmbito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica


Scaricare ppt "IBM Global Services La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005."

Presentazioni simili


Annunci Google