La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Sicurezza dei dati e tutela della privacy per il lavoro digitale. Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di.

Presentazioni simili


Presentazione sul tema: "1 Sicurezza dei dati e tutela della privacy per il lavoro digitale. Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di."— Transcript della presentazione:

1 1 Sicurezza dei dati e tutela della privacy per il lavoro digitale. Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di sistemi di qualità e di sicurezza delle informazioni. Lead Auditor ISO 9001 Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di sistemi di qualità e di sicurezza delle informazioni. Lead Auditor ISO 9001

2 2 Le opportunità del lavoro digitale Le moderne tecnologie offrono alle organizzazioni strumenti e mezzi di decisiva rilevanza per la loro gestione. Le nuove tecnologie possono sensibilmente migliorare le performances dei processi interni di unorganizzazione e addirittura aprire nuovi scenari sia per le aziende (vetrine digitali, e-commerce, piattaforme digitali di acquisto) che per le PA (contatto in tempo reale con i cittadini, aste on line, PEC).

3 3 Quanto ci siamo dentro ! Molte di queste innovazioni ci affiancano da tempo nelle nostre attività quotidiane, aiutandoci a reperire tempestivamente informazioni o raggiungere utenti/clienti con maggiore rapidità e completezza (Internet – , applicazioni WEB). Altre sono in procinto di pervadere i nostri uffici per ridurre drasticamente i tempi di lavorazione delle pratiche, aumentare lefficienza e la trasparenza (sistemi di work flow, posta certificata, digitalizzazione dei documenti, SPCoop).

4 4 Quali i rischi ? Le innovazioni, si sa, modificano lo status quo di una struttura e devono pertanto essere assimilate a livello organizzativo. Le tecnologie del resto sono solo strumenti che possono migliorare o anche determinare processi lavorativi, ma non definiscono come tali processi devono essere attuati e controllati né che impatti abbiano su un bene sempre più prezioso per le organizzazioni: Le informazioni

5 5 I disastri possibili che accadrebbe se … Si perdessero (rottura dischi, corruzione) i dati con cui quotidianamente lavoriamo ? O qualcuno accedesse ai nostri archivi e trafugasse o corrompesse questi dati ? O si bloccassero i sistemi di gestione delle nostre applicazioni (server, reti, pc, ecc.) ? ….

6 6 Le conseguenze immediate probabilmente subiremmo una serie di danni: Economici diretti (stop vendite on line, negazione di servizi ai cittadini) Di efficienza (blocco o forte riduzione dei processi interni di lavoro) Di immagine: una giornata di fermo può rendere inutili gli investimenti fatti per proiettare allesterno limmagine di unorganizzazione moderna e sicura.

7 7 Le conseguenze legali e forse qualcosa daltro: E se i dati trafugati riguardassero persone fisiche protette dalla privacy ? E se i dati danneggiati/trafugati appartenessero ai miei clienti (dati contabili, progetti, dati riguardanti i cittadini) ? E se il servizio negato fosse considerato essenziale per alcune categorie di cittadini (tributi, sanità, scadenze di procedure) ?

8 8 Le contromisure Alcune attenzioni non mancano mai: Sistemi di backup dei dati Sistemi di protezione (firewall, antivirus) Regole per lutilizzo delle risorse informatiche e laccesso. Disposizioni riguardanti la privacy. Ma sono sufficienti ? NO !

9 9 Le minacce sono tante Esempi di eventi negativi a cui siamo esposti. Furto da parte di esterni non autorizzati Furto da parte di personale autorizzato all'accesso Incendio, Allagamento, Catastrofe naturale Atto Vandalico Danneggiamento fisico (di dati digitali e non) Cadute di tensione, Prolungate mancanze di corrente Danneggiamento logico (di dati digitali e non) Intrusione non autorizzata nei propri sistemi Malfunzionamento hardware Malfunzionamento apparati di rete Malfunzionamento software Non disponibilità connessione a Internet eventi, generati da atti accidentali o anche dolosi, che possono provocare danni diretti o indiretti agli asset

10 10 … e anche le debolezze dei sistemi Le minacce sfuttano le seguenti vulnerabilità. Asset fisicamente accessibile da non autorizzati Asset logicamente accessibile da non autorizzati Asset utilizzato anche da personale non aziendale Asset da manutenere o aggioronare spesso Asset con prestazioni critiche Asset non ridondato (hw); non "backuppato" (dati) Asset allocato in locali seminterrati Asset non protetto da gruppo di continuità Asset non dotato di un sistema di continuità > di 1H Asset soggetto a spostamenti frequenti i punti deboli del sistema dellorganizzazione, sfruttabili dalle minacce per concretizzarsi in eventi negativi

11 11 Identificazione degli asset Una risorsa dellorganizzazione (documenti, basi dati, componenti hardware e reti, programmi software, strutture logistiche), che incida sulla sicurezza delle informazioni. Possiamo definire un asset nel modo seguente:

12 12 Le contromisure La sicurezza al 100% non esiste. Esistono invece metodi per gestire i rischi, cioè eventi che hanno una qualche probabilità di accadimento e un certo impatto negativo. Le metodologie devono: definire gli strumenti e gli elementi di I/O identificare le Debolezze e Minacce, inclusi impatti e probabilità, per ogni Asset; specificare le misure di gestione del rischio; pianificare il Monitoraggio.

13 13 Consigli per individuare i rischi Partendo dalle debolezze e minacce:. a.Immaginiamo tutti gli eventi negativi possibili (analisi delle esperienze passate, confronto con realtà organizzative similari) b.scartiamo quegli eventi che hanno una probabilità di accadimento molto bassa (disastri naturali ad es.) e quelli che ne hanno una molto alta (non sono rischi, sono eventi da gestire nel quotidiano); c.scartiamo anche quegli eventi che non ci arrecherebbero dei danni significativi.

14 14 Un test Il nostro attuale livello di sicurezza: Una volta individuati i rischi, su cui vale la pena soffermarsi, chiedetevi: La nostra metodologia ci fornisce elementi (piani di azione, PCE & BC, suggerimenti pratici, attenzioni da porre) per far fronte ai rischi individuati? E solo carta o ci sono reali istruzioni sul cosa e come farlo ?

15 Obiettivi della Sicurezza salvaguardare la riservatezza dell'informazione significa ridurre a livelli accettabili il rischio che un'entità possa, volontariamente o involontariamente, accedere all'informazione stessa senza esserne autorizzata; salvaguardare l'integrità dell'informazione significa ridurre a livelli accettabili il rischio che possano avvenire cancellazioni o modifiche di informazioni a seguito di interventi di entità non autorizzate o del verificarsi di fenomeni non controllabili (come il deteriorarsi dei supporti di memorizzazione, la degradazione dei dati trasmessi su canali rumorosi, i guasti degli apparati, i problemi ai sistemi di distribuzione dell'energia, gli incendi, gli allagamenti) e prevedere adeguate procedure di recupero delle informazioni (ad esempio i piani di back-up); salvaguardare la disponibilità dell'informazione significa ridurre a livelli accettabili il rischio che possa essere impedito alle entità autorizzate l'accesso alle informazioni a seguito di interventi di altre entità non autorizzate o del verificarsi di fenomeni non controllabili.. 15 ISO La sicurezza delle informazioni mira a:

16 Misure minime di sicurezza Organizzare la sicurezza dei dati16 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione (profilazione ndr); d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. DLGS 196/2003: Art. 34 (Trattamenti con strumenti elettronici) Consideriamo allora le seguenti disposizioni un aiuto:

17 Amministratore di sistema Organizzare la sicurezza dei dati17 Prov.Garante del 27 Novembre 2008 [doc. web n ] 1. Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta; l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento; registrazione degli accessi logici (autenticazione informatica) …

18 Reti dati e posta elettronica Organizzare la sicurezza dei dati18 Linee guida del Garante per posta elettronica ed internet 1/3/2007 [doc. web n ] a) Compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali; b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità [articoli 15 (danni cagionati), 31 ss. (misure di sicurezza), 167 (tratt. illecito dati) e 169 (sanzioni per non adozione misure minime) del Codice ] Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

19 Controllo del dipendente Organizzare la sicurezza dei dati19 Provvedimento Garante del 2 Aprile 2008 (ispezione pc AD) [doc. web n ] In proposito, si rappresenta che l'art. 28 del Codice prevede espressamente che, in caso di trattamenti effettuati da persone giuridiche, "titolare del trattamento è l'entità nel suo complesso" e non già la singola persona fisica ancorché rappresentante legale dell'ente (nello stesso senso, le numerose pronunce del Garante in argomento: cfr. Parere 9 dicembre 1997, in Boll. n. 2/1997, doc. web n ; v. anche Boll. n. 5/1998, doc. web n ; Boll. n. 6/1998, doc. web n ) : In conformità all'art. 11, comma 1, lett. a) del Codice, i dati personali oggetto di trattamento devono essere trattati secondo liceità e correttezza. In particolare, il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (in tal senso v., di recente, Corte europea dei diritti dell'uomo, Copland v. U.K., 3 aprile 2007, punti 42 e 44 in particolare; v. già Corte europea dei diritti dell'uomo, Halford v. U.K., 25 giugno 1997, punto 44). Applicato al caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli in ordine all'utilizzo degli strumenti aziendali in dotazione ai lavoratori (v. anche, le Linee guida del Garante per posta elettronica ed internet del 1° marzo 2007, punto 3.1).le Linee guida del Garante per posta elettronica ed internet del 1° marzo 2007, 5.2: la società ha trattato effettivamente informazioni personali del reclamante con modalità intenzionalmente non dichiarate ("i dipendenti del CED hanno ricevuto tassativa disposizione di non comunicare l'avvenuta consegna di tutta la corrispondenza personale del Top Management"). 5.2: il Codice in materia di protezione dei dati personali considera valido il consenso solo se questo è manifestato in relazione a un trattamento "chiaramente" individuato (art. 23, comma 3). 5.4: inoltre la società ha comunicato a terzi, senza il previo consenso, i dati dellex. AD.

20 Le fonti normative Legge Dicembre 1996 Provvedimento del Garante del 27 Novembre 2008 Leggi Italiane e Comunitarie, Provvedimenti, FAQ, presenti sul sito del Garante, allindirizzo: Organizzare la sicurezza dei dati20 Decreto Legislativo 196 del 30 Giugno-2003 Il testo, chiamato anche codice Privacy, mira a introdurre nuove garanzie per i cittadini, razionalizzando le norme esistenti e semplificando gli adempimenti. Sostituisce la legge madre sulla protezione dei dati, la n. 675 del 1996.

21 Linee guida a cui riferirsi Frequently Asked Questions sul tema degli AdS CNIPA Quaderno 23 Marzo 2006 CNIPA Quaderno 23 Marzo 2006 ISCOM Linee guida outsorurcing Linee Guida presenti sul sito del CNIPA, allindirizzo: IT/Attivit%c3%a0/Sicurezza_informatica/ IT/Attivit%c3%a0/Sicurezza_informatica/ Il contributo di Microsoft, disponibile allindirizzo: Organizzare la sicurezza dei dati21

22 Fine dei moduli Organizzare la sicurezza dei dati22 Grazie per lattenzione e … Se avete interesse inviate i vostri commenti sul corso al mio indirizzo di posta


Scaricare ppt "1 Sicurezza dei dati e tutela della privacy per il lavoro digitale. Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di."

Presentazioni simili


Annunci Google