Sicurezza dei dati e tutela della privacy per il lavoro “digitale”.

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
INTERNET: RISCHI E PERICOLI
Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
CORSO PRIVACY PARTE GENERALE
CAPO II – USO DEI DISPOSITIVI DI PROTEZIONE INDIVIDUALE ART
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Nuovi servizi per il personale
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
1 Pavia 27 marzo ° Incontro A. V. Berri LE MISURE DI TUTELA.
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
3° Conf. attuazione e-gov– 30 giugno 2005 CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE, G. Manca CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE Giovanni.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Firenze 17 Giugno 2010 Sala Grazzini 9.30Registrazione e welcome coffee 9.45Benvenuto di S&NT Informatica 10.00Il nuovo Desktop Microsoft per la PMI Italiana:
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Linformatizzazione dellArchivio Cartaceo degli Uffici Tecnici Comunali Aprile 2008 Studio AESSE Servizi Tecnici Informatici COMUNE /ASSOCIAZIONE.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Dr. Daniele Dondarini CNA Regionale Emilia Romagna
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
DLG.s 81/2008 Titolo VIII: AGENTI FISICI Capo I: Disposizioni generali
Nozioni basilari in materia di Privacy
Relatore: ing. Francesco Italia
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
LO SPORTELLO UNICO DELL’ EDILIZIA
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Cloud SIA V anno.
ECDL European Computer Driving Licence
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Sicurezza dei dati e tutela della privacy per il lavoro “digitale”. Relatore: Dr. Roberto Reggiani Consulente in aziende e PA, per la progettazione di sistemi di qualità e di sicurezza delle informazioni. Lead Auditor ISO 9001

Le opportunità del “lavoro digitale” Le moderne tecnologie offrono alle organizzazioni strumenti e mezzi di decisiva rilevanza per la loro gestione. Le nuove tecnologie possono sensibilmente migliorare le performances dei processi interni di un’organizzazione e addirittura aprire nuovi scenari sia per le aziende (vetrine digitali, e-commerce, piattaforme digitali di acquisto) che per le PA (contatto in tempo reale con i cittadini, aste on line, PEC). Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Quanto ci siamo dentro ! Molte di queste innovazioni ci affiancano da tempo nelle nostre attività quotidiane, aiutandoci a reperire tempestivamente informazioni o raggiungere utenti/clienti con maggiore rapidità e completezza (Internet – email, applicazioni WEB). Altre sono in procinto di pervadere i nostri uffici per ridurre drasticamente i tempi di lavorazione delle pratiche, aumentare l’efficienza e la trasparenza (sistemi di work flow , posta certificata, digitalizzazione dei documenti, SPCoop). Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Quali i rischi ? Le innovazioni, si sa, modificano lo status quo di una struttura e devono pertanto essere assimilate a livello organizzativo. Le tecnologie del resto sono solo strumenti che possono migliorare o anche determinare processi lavorativi, ma non definiscono come tali processi devono essere attuati e controllati né che impatti abbiano su un bene sempre più prezioso per le organizzazioni: Le informazioni Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati I disastri possibili che accadrebbe se … Si perdessero (rottura dischi, corruzione) i dati con cui quotidianamente lavoriamo ? O qualcuno accedesse ai nostri archivi e trafugasse o corrompesse questi dati ? O si bloccassero i sistemi di gestione delle nostre applicazioni (server, reti, pc, ecc.) ? …. Organizzare la sicurezza dei dati

Le conseguenze immediate probabilmente subiremmo una serie di danni: Economici diretti (stop vendite on line, negazione di servizi ai cittadini) Di efficienza (blocco o forte riduzione dei processi interni di lavoro) Di immagine: una giornata di fermo può rendere inutili gli investimenti fatti per proiettare all’esterno l’immagine di un’organizzazione moderna e sicura. Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Le conseguenze legali e forse qualcosa d’altro: E se i dati trafugati riguardassero persone fisiche protette dalla privacy ? E se i dati danneggiati/trafugati appartenessero ai miei clienti (dati contabili, progetti, dati riguardanti i cittadini) ? E se il “servizio negato” fosse considerato essenziale per alcune categorie di cittadini (tributi, sanità, scadenze di procedure) ? Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Le contromisure Alcune attenzioni non mancano mai: Sistemi di backup dei dati Sistemi di protezione (firewall, antivirus) Regole per l’utilizzo delle risorse informatiche e l’accesso. Disposizioni riguardanti la privacy. Ma sono sufficienti ? NO ! Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Le minacce sono tante eventi, generati da atti accidentali o anche dolosi, che possono provocare danni diretti o indiretti agli asset Esempi di eventi negativi a cui siamo esposti. Furto da parte di esterni non autorizzati Furto da parte di personale autorizzato all'accesso Incendio, Allagamento, Catastrofe naturale Atto Vandalico Danneggiamento fisico (di dati digitali e non) Cadute di tensione, Prolungate mancanze di corrente Danneggiamento logico (di dati digitali e non) Intrusione non autorizzata nei propri sistemi Malfunzionamento hardware Malfunzionamento apparati di rete Malfunzionamento software Non disponibilità connessione a Internet Organizzare la sicurezza dei dati

… e anche le debolezze dei sistemi i punti deboli del sistema dell’organizzazione, sfruttabili dalle minacce per concretizzarsi in eventi negativi Le minacce sfuttano le seguenti vulnerabilità. Asset fisicamente accessibile da non autorizzati Asset logicamente accessibile da non autorizzati Asset utilizzato anche da personale non aziendale Asset da manutenere o aggioronare spesso Asset con prestazioni critiche Asset non ridondato (hw); non "backuppato" (dati) Asset allocato in locali seminterrati Asset non protetto da gruppo di continuità Asset non dotato di un sistema di continuità > di 1H Asset soggetto a spostamenti frequenti Organizzare la sicurezza dei dati

Identificazione degli asset Possiamo definire un asset nel modo seguente: Una risorsa dell’organizzazione (documenti, basi dati, componenti hardware e reti, programmi software, strutture logistiche), che incida sulla sicurezza delle informazioni. Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Le contromisure La sicurezza al 100% non esiste. Esistono invece metodi per gestire i rischi, cioè eventi che hanno una qualche probabilità di accadimento e un certo impatto negativo. Le metodologie devono: definire gli strumenti e gli elementi di I/O identificare le Debolezze e Minacce, inclusi impatti e probabilità, per ogni Asset; specificare le misure di gestione del rischio; pianificare il Monitoraggio. Organizzare la sicurezza dei dati

Consigli per individuare i rischi Partendo dalle debolezze e minacce:. Immaginiamo tutti gli eventi negativi possibili (analisi delle esperienze passate, confronto con realtà organizzative similari) scartiamo quegli eventi che hanno una probabilità di accadimento molto bassa (disastri naturali ad es.) e quelli che ne hanno una molto alta (non sono rischi, sono eventi da gestire nel quotidiano); scartiamo anche quegli eventi che non ci arrecherebbero dei danni significativi. Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Un test Il nostro attuale livello di sicurezza: Una volta individuati i rischi, su cui vale la pena soffermarsi, chiedetevi: La nostra metodologia ci fornisce elementi (piani di azione, PCE & BC, suggerimenti pratici, attenzioni da porre) per far fronte ai rischi individuati? E’ solo carta o ci sono reali istruzioni sul cosa e come farlo ? Organizzare la sicurezza dei dati

Obiettivi della Sicurezza ISO 27001 - La sicurezza delle informazioni mira a: salvaguardare la riservatezza dell'informazione significa ridurre a livelli accettabili il rischio che un'entità possa, volontariamente o involontariamente, accedere all'informazione stessa senza esserne autorizzata; salvaguardare l'integrità dell'informazione significa ridurre a livelli accettabili il rischio che possano avvenire cancellazioni o modifiche di informazioni a seguito di interventi di entità non autorizzate o del verificarsi di fenomeni non controllabili (come il deteriorarsi dei supporti di memorizzazione, la degradazione dei dati trasmessi su canali rumorosi, i guasti degli apparati, i problemi ai sistemi di distribuzione dell'energia, gli incendi, gli allagamenti) e prevedere adeguate procedure di recupero delle informazioni (ad esempio i piani di back-up); salvaguardare la disponibilità dell'informazione significa ridurre a livelli accettabili il rischio che possa essere impedito alle entità autorizzate l'accesso alle informazioni a seguito di interventi di altre entità non autorizzate o del verificarsi di fenomeni non controllabili.   . Organizzare la sicurezza dei dati

Misure minime di sicurezza DLGS 196/2003: Art. 34 (Trattamenti con strumenti elettronici) Consideriamo allora le seguenti disposizioni un aiuto: 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione (profilazione ndr); d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.     Organizzare la sicurezza dei dati

Amministratore di sistema Prov.Garante del 27 Novembre 2008 [doc. web n. 1577499] 1. Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta; l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento; registrazione degli accessi logici (autenticazione informatica) … Organizzare la sicurezza dei dati

Reti dati e posta elettronica Linee guida del Garante per posta elettronica ed internet  1/3/2007 [doc. web n. 1387522] a) Compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali; b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità [articoli 15 (danni cagionati) , 31 ss. (misure di sicurezza) , 167 (tratt. illecito dati) e 169 (sanzioni per non adozione misure minime) del Codice ] Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Organizzare la sicurezza dei dati

Controllo email del dipendente Provvedimento Garante del 2 Aprile 2008 (ispezione pc AD) [doc. web n. 1519703] In proposito, si rappresenta che l'art. 28 del Codice prevede espressamente che, in caso di trattamenti effettuati da persone giuridiche, "titolare del trattamento è l'entità nel suo complesso" e non già la singola persona fisica ancorché rappresentante legale dell'ente (nello stesso senso, le numerose pronunce del Garante in argomento: cfr. Parere 9 dicembre 1997, in Boll. n. 2/1997, doc. web n. 30915; v. anche Boll. n. 5/1998, doc. web n. 41794; Boll. n. 6/1998, doc. web n. 41862). 5.1: In conformità all'art. 11, comma 1, lett. a) del Codice, i dati personali oggetto di trattamento devono essere trattati secondo liceità e correttezza. In particolare, il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (in tal senso v., di recente, Corte europea dei diritti dell'uomo, Copland v. U.K., 3 aprile 2007, punti 42 e 44 in particolare; v. già Corte europea dei diritti dell'uomo, Halford v. U.K., 25 giugno 1997, punto 44). Applicato al caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli in ordine all'utilizzo degli strumenti aziendali in dotazione ai lavoratori (v. anche, le Linee guida del Garante per posta elettronica ed internet del 1° marzo 2007, punto 3.1). 5.2: la società ha trattato effettivamente informazioni personali del reclamante con modalità intenzionalmente non dichiarate ("i dipendenti del CED hanno ricevuto tassativa disposizione di non comunicare l'avvenuta consegna di tutta la corrispondenza personale del Top Management"). 5.2: il Codice in materia di protezione dei dati personali considera valido il consenso solo se questo è manifestato in relazione a un trattamento "chiaramente" individuato (art. 23, comma 3). 5.4: inoltre la società ha comunicato a terzi, senza il previo consenso, i dati dell’ex. AD. Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Le fonti normative Decreto Legislativo 196 del 30 Giugno-2003 Il testo, chiamato anche “codice Privacy”, mira a introdurre nuove garanzie per i cittadini, razionalizzando le norme esistenti e semplificando gli adempimenti. Sostituisce la legge “madre” sulla protezione dei dati, la n. 675 del 1996. Legge 675 31 Dicembre 1996 Provvedimento del Garante del 27 Novembre 2008 Leggi Italiane e Comunitarie, Provvedimenti, FAQ, presenti sul sito del Garante, all’indirizzo: http://www.garanteprivacy.it/garante/navig/jsp/index.jsp Organizzare la sicurezza dei dati

Linee guida a cui riferirsi Frequently Asked Questions sul tema degli AdS CNIPA Quaderno 23 Marzo 2006 ISCOM Linee guida outsorurcing Linee Guida presenti sul sito del CNIPA, all’indirizzo: http://www.cnipa.gov.it/site/it-IT/Attivit%c3%a0/Sicurezza_informatica/ Il contributo di Microsoft, disponibile all’indirizzo: http://www.microsoft.com/italy/pmi/privacy/default.mspx Organizzare la sicurezza dei dati

Organizzare la sicurezza dei dati Fine dei moduli Grazie per l’attenzione e … Se avete interesse inviate i vostri commenti sul corso al mio indirizzo di posta erreerre8@alice.it Organizzare la sicurezza dei dati

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.