Sicurezza informatica: Lo stato dell’arte e le novità normative

Slides:



Advertisements
Presentazioni simili
PIANIFICAZIONE STRATEGICA è orientata alla formulazione e alla valutazione delle strategie aziendali e alla definizione dei piani operativi è teso ad accertare.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Principali Direttive di prodotto applicabili alle macchine maggio 2016
Al servizio di gente unica LA RESPONSABILITÀ SOCIALE D’IMPRESA: Direzione centrale lavoro, formazione, commercio e pari opportunità UNO STRUMENTO DI INNOVAZIONE.
Fonti del diritto amministrativo
PERCORSO FORMATIVO ALTERNANZA SCUOLA LAVORO I.t.i.s. Luigi dell’Erba as 2015/2016 a cura di Prof.sa Sabrina Monteleone I CONTRATTI COLLETTIVI NAZIONALI(CCNL)
La Business Continuity dall’esperienza Unicredit alla P.A.
La fiscalità dei compensi corrisposti ai procuratori
La Direttiva Bolkestein
Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.
L'andamento del Mercato Digitale in Italia,
Erica Palmerini Istituto DIRPOLIS Scuola Superiore Sant’Anna
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
RISARCIMENTO e DATA PROTECTION:
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Il Responsabile della protezione dei dati:
SMART WORKING E RUOLO DEL MIDDLE MANAGEMENT Pierluigi Richini
Dematerializzazione, Sicurezza ed Amministrazione Trasparente
GPOI - L’organizzazione aziendale -
FONTI DEL TURISMO.
FONTI DEL TURISMO.
MASSAROTTO E ASSOCIATI STUDIO LEGALE
E. Bovo – Servizio Affari Legali INFN
L'andamento del Mercato Digitale in Italia,
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
IL DIRITTO E LE NORME GIURIDICHE
GIORNATA DELLA TRASPARENZA 2016
Le fonti del diritto I diversi atti normativi
DIRETTIVA mifid II NOVEMBRE 2017.
driver strategico di produttività e crescita delle imprese
Presidente – NetConsulting cube
Consulenza legale, fiscale e strategica alle imprese
G.D.P.R. – Sintesi e proposizione
Il processo di bilancio fra Parlamento e Governo
Il nuovo Regolamento Generale UE 2016/679
Il ruolo dell’impresa per una innovazione sostenibile
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016
CRM per PMI Attualmente, molte PMI italiane non utilizzano strumenti a supporto del processo di Customer Relationship Management (CRM), rendendo non strutturata.
Privacy e internet of things: quali sono i rischi?
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
Il processo di bilancio fra Parlamento e Governo
FORMAZIONE PROFESSIONALE
Whistleblowing nel settore privato: evoluzione normativa e temi aperti
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Mifid II Torino, 11 aprile 2018.
RIVOLUZIONE PRIVACY 2018.
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
Stato e trend della digitalizzazione in Italia
Una Politica Digitale per l’economia
BROCHURE COMPLIANCE.
Audizione di AGENS presso la Camera dei Deputati
Il Conflitto di Interesse negli Appalti
Piano di formazione e aggiornamento docenti
Conservation Digital preservation 04/04/2019 Digital preservation.
La rivoluzione del BIM e del BMS nella progettazione impiantistica
COMMISSIONE Industria 4.0
Aspetti normativi del D.Lvo n. 196 del 2003
Da Roma a Lisbona: Piano per l’Innovazione la Crescita e l’Occupazione
IL CONFLITTO DI INTERESSI
Le linee guida AGID per le competenze digitali
Il protocollo informatico e il Manuale di Gestione
Audizione da parte della
DIRETTIVA 2016/ LUGLIO 2016.
Garanzie normative e contrattuali
Esame di Stato La normativa.
Misure Minime per la Pubblica Amministrazione
diritto della comunicazione pubblica
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Sicurezza informatica: Lo stato dell’arte e le novità normative 20 gennaio 2017

Gabriele Faggioli Legale CEO Partners4innovation (Digital 360) Adjunct Professor MIP-Politecnico di Milano Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica) Membro del Group of Expert in Cloud Computing Contract della Commissione Europea Responsabile scientifico dell’Osservatorio Security & Privacy del Politecnico di Milano

Rapporto CLUSIT 2016 Dalla edizione del Rapporto Clusit, completata nel Gennaio 2016, è emersa l’assenza di: un’adeguata consapevolezza a livello globale nei confronti delle minacce cibernetiche; adeguati investimenti in termini economici; una visione prospettica necessaria ad affrontare un problema che richiede tempi di reazione estremamente rapidi.

2016: il rischio «cyber» diventa inaccettabile (1/2) Lo scenario attuale: Da un lato: a partire dal 2016 l’Italia si è dotata di un articolato «Piano nazionale per la protezione cibernetica e la sicurezza informatica»; del febbraio 2016 è la pubblicazione di un «Framework Nazionale di Cyber Security», frutto di un’inedita partnership tra pubblico e privato; D’altro lato, però: le tipologie di aggressori si sono moltiplicate; le perdite economiche sono aumentate di 4 volte; è aumentata in modo significativo la superficie di attacco, in conseguenza del crescente processo di digitalizzazione (Social Media, Cloud, Mobile ed Internet of Things); il settore dell’ICT ha subito tagli di budget.

2016: il rischio «cyber» diventa inaccettabile (2/2) Ciò imporrebbe di adottare dei piani strategici a livello nazionale, che coinvolgano l’architettura istituzionale di sicurezza cibernetica; al contrario, negli ultimi tre anni il divario tra percezione dei rischi «cyber» e realtà, tra gravità di questi rischi ed efficacia delle contromisure adottate, è aumentato; attualmente, dunque, il tema della cybersecurity non è ancora gestito in modo efficace.

Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DEGLI ATTACCANTI PER TIPOLOGIA Rispetto al 2014, nel 2015 le tipologie di attaccanti sono così ripartite: Cybercrime (+30,04%, con 684 attacchi) Hacktivism (- 11%, con 209 attacchi) Espionage (+ 40%, con 96 attacchi) Information welfare (-50%, con 23 attacchi)

Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (1/2) Rispetto al 2014, nel 2015 la crescita maggiore degli attacchi gravi si osserva verso: Critical Infrastructures (+ 153,85%) Online Services/Cloud (+ 81,55%) Entertainment/News (+ 79,22%) Automotive (+ 66,67%)

Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (2/2) Research/Education (+ 51,85%) Banking/Finance (+28%) Software/Hardware vendor (+ 25%) Health (+ 12,50%)

Osservatorio Politecnico di Milano I risultati 2015 – Le fonti di attacco 18% Competitor 49% Lavoratori attuali 58% Associazioni criminali Ex lavoratori 14% Interne Esterne Collaboratori diretti 30% 46% Hacktivist Le fonti di attacco sono eterogenee, ed i numeri confermano che sono sia di origine esterna che interna. Infatti, accanto al rimine organizzato e agli hacktivist, anche i lavori attuali ed i collaboratori diretti rappresentano fonti di attacco rilevanti. Provider di servizio IT 17% Campione : 124 rispondenti

Osservatorio Politecnico di Milano I risultati 2015 – Le principali vulnerabilità Inconsapevolezza rispetto alle policy aziendali 78% Distrazione delle persone 56% Accesso in mobilità alle informazioni 47% Presenza di device mobile personali (BYOD) 33% Architettura IT obsoleta 18% In effetti, analizzando le principali vulnerabilità, emerge come sia proprio l’inconsapevolezza sulle privacy aziendali e la distrazione delle persone a rappresentare il rischio maggiore. Vi sono poi anche elementi legati all’accesso in mobilità alle informazioni e piu’ in generale alla compresenza in ambito business anche di device personali. Da non dimenticare, inoltre, gli aspetti tecnologici, legati ad un architettura IT spesso non allo stato dell’arte. Campione : 125 rispondenti

La normativa cogente: sviluppi passati, attuale e trend futuri Linee di tendenza normative Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO

EVOLUZIONE NORMATIVA La normativa sulla privacy ha avuto una serie di passaggi rilevanti: 1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con relative, importanti, responsabilità. Seguirono poi le misure di sicurezza di cui al D.P.R. 28-07-1999, n. 318: Pregio: grandissima valenza educativa Difetto: normativa sperimentale, ampiezza e farraginosità della normativa 2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B. Esistono però numerosi provvedimenti ancillari alla normativa che prevedono misure di sicurezza obbligatorie per una serie di trattamenti e interi settori di mercato Pregio: plasmatura per settori di mercato Difetto: scarsa capacità della norma di adeguarsi alle evoluzioni tecnologiche (cookies) 2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come posizionarsi

LINEE DI TENDENZA NEGLI ULTIMI ANNI Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO

art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS MISURE TECNICHE E ORGANIZZATIVE appropriate adeguate art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS

art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS MISURE TECNICHE E ORGANIZZATIVE per gestire i rischi legati alla sicurezza dei servizi fiduciari per garantire un livello di sicurezza adeguato al rischio art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS

IL PERCORSO NORMATIVO ? 13 Dicembre 2016 Leggi nazionali, Linee guida, Provvedimenti e Autorizzazioni dell’Autorità 13 Dicembre 2016 Pubblicazione delle Linee Guida (WP Art.29) 25 maggio 2018 Il Regolamento n. 679/2016 diventa applicabile 24 Maggio 2016 Entrata in vigore del Regolamento n. 679/2016 10 gennaio 2017 Proposta di Regolamento per la riforma della Direttiva E-Privacy

COSA ACCADE A MAGGIO 2018 Regolamento 2016/679 IN VIGORE, NON APPLICABILE (?) Direttiva 1995/46 IN VIGORE, DECADE il 24 maggio 2018 Autorizzazioni Generali Autorità Garante IN VIGORE, DECADONO il 24 maggio 2018 Provvedimenti Autorità Garante NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Accordi internazionali su trasferimento dati NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Decisioni Commissione UE NON DECADONO fino a quando non verranno modificate, sostituite, abrogate

GRAZIE Gabriele.faggioli@p4i.it