La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Mi adeguo alla legge. E mi sento inadeguato. Alessio L.R. Pennasilico

PubblicatoIsidoro Di Carlo Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Mi adeguo alla legge. E mi sento inadeguato. Alessio L.R. Pennasilico"— Transcript della presentazione:

1 Mi adeguo alla legge. E mi sento inadeguato. Alessio L.R. Pennasilico mayhem@recursiva.org http://www.aipsi.org

2 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 2 /27 2 Alessio L.R. Pennasilico ✔ Socio ed attivista di AIPSI, AIP, ILS, LUGVR, Metro Olografix, OpenGeeks/OpenBeer, recursiva.org, Sikurezza.org, no1984, Spippolatori, CLUSIT e VoIPSA. ✔ Svolge attività di consulenza presso diverse aziende, principalmente in merito a tecnologie legate ad Internet, al networking ed alla sicurezza. ✔ Security Evangelist @ www.alba.st

3 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 3 /27 3 Chi e’ ISSA ISSA® - con l’attiva partecipazione dei singoli soci e dei relativi capitoli in tutto il mondo, ISSA® è la più grande associazione non-profit di professionisti della sicurezza. L’organizzazione di forum educativi, la redazione di documenti e pubblicazioni oltre all’interazione fra i vari professionisti della sicurezza contribuiscono ad incrementare la conoscenza e la crescita professionale. I soci sono professionisti nel campo della sicurezza a tutti i livelli nei vari settori delle telecomunicazioni, formazione, sanità, finance, industria e government

4 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 4 /27 4 Obiettivi dell’associazione Organizzazione di forum educativi Redazione di documenti e pubblicazioni specializzate Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) Riferimento per la ricerca di professionisti di sicurezza IT Interazione con altre organizzazioni professionali Rilascio di attestati e certificazioni specifiche

5 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 5 /27 5 Sommario Introduzione DPS - Documento Programmatico sulla Sicurezza Misure minime previste Gestione delle password Utilizzo di antivirus Applicazione delle correzioni Utilizzo di firewall Gestione dei salvataggi Conclusioni

6 Introduzione

7 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 7 /27 7 introduzione  Dal 31.03.2006 è finalmente entrato in vigore il D.LGS. 196/2003.  Viene imposto come obbligatorio per legge un corretto trattamento delle informazioni che riguardano terzi da parte delle aziende e dei professionisti.  La legge impartisce indicazioni tanto operative quanto tecniche.

8 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 8 /27 8 introduzione  Quelli che vengono indicati come requisiti minimi spesso non sono rispettati in molti contesti, quindi è positivo che la legge li richieda.  Tuttavia le misure minime sono inadeguate, nella maggior parte dei casi.  Per questa ragione spesso vengono richieste misure “adeguate”.

9 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 9 /27 9 introduzione  Questa legge viene percepita come una “imposizione”, come un “costo aggiuntivo” e si è spesso restii nell'implementarla.  Pensiamo tuttavia al nostro avvocato, al nostro medico, al nostro videonoleggio, etc etc.  Noi pretendiamo che i nostri dati vengano gestiti in modo adeguato.

10 Documento Programmatico sulla Sicurezza

11 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 11 /27 11 DPS  Se la privacy era “il diritto di essere lasciati soli” (Warren & Brandeis, 1890) oggi è diventato “il diritto a chiedere di se stessi” (Lisi, 2005).  Vogliamo e dobbiamo sapere chi ha quali dati che ci riguardano, come e per quali fini li utilizza.  Il trattamento elettronico inoltre può esporre informazioni che ci riguardano a rischi forse non previsti.

12 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 12 /27 12 DPS  Pretendiamo che chi possiede informazioni che ci riguardano le protegga in modo adeguato.  Pretendiamo che i nostri dati vengano gestiti secondo modalità analizzate a priori, e continuamente riviste, al fine di migliorarle.  Per questa ragione viene richiesto di redarre un documento che spieghi quali dati vengono trattati ed in che modo.

13 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 13 /27 13 DPS  Mettere per iscritto le procedure “dovrebbe” costringere a prendere coscienza del trattamento, di certo aiuta ad essere informati su quali nostri dati vengono trattati da chi ed in che modo.  “La 626/1994 veniva inizialmente percepita allo stesso modo: imposizione, intralcio, costo.  I primi risultati, non solo nelle procedure, ma soprattutto nell'atteggiamento si iniziano a vedere solo oggi, dopo 10 anni” (Bortolani, 2006).

14 Misure minime previste

15 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 15 /27 15 password  La legge prevede password di almeno 8 caratteri alfanumerici, che vengano cambiate ogni 3 o 6 mesi e che non siano riconducibili all'utente.  Vengono consigliate strategie di autenticazione semplici, che non spingano l'utente a comportamenti a rischio.  La biometria viene accettata ma non consigliata.

16 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 16 /27 16 password  Se le password salvate sono particolarmente a rischio, le altre non sono di certo al sicuro.  Password sniffer, password cracker et similia sono programmi diffusissimi ed utilizzabili da chiunque, che permettono di ottenere credenziali in pochi giorni, se non in poche ore.  L'utilizzo di rainbow table, inoltre, rende tutte queste operazioni ancora più veloci.

17 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 17 /27 17 antivirus  La legge prevede l'utilizzo di un antivirus, che deve essere aggiornato ogni 6 mesi.  Risulta evidente come un semplice antivirus non protegga da tutte le minacce.  La frequenza di 6 mesi è del tutto inadeguata a qualsiasi tipo di realtà, persino per un privato.

18 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 18 /27 18 patch  Le misure minime prevedono l'utilizzo di software aggiornati e l'applicazione delle correzioni almeno ogni 6 mesi.  Risulta del tutto inopportuno lasciare trascorre tutto questo tempo per correggere una vulnerabilità.  Non è necessario essere un target interessante, esistono programmi che ricercano in automatico computer vulnerabili.

19 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 19 /27 19 firewall  Viene finalmente resa obbligatoria l'adozione di un firewall per proteggere la rete e la sua verifica semestrale.  Tuttavia il firewall non è una misteriosa e magica scatola nera che “collego e mi protegge”.  Come ogni strumento diventa utile se frutto di una analisi a priori e se gestito nel modo corretto nel tempo.

20 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 20 /27 20 backup  Abbiamo bisogno che sia una legge ad imporre di fare delle copie di sicurezza dei dati?  Un backup settimanale è comunque insufficiente nella maggior parte dei casi.  Dolo, errori e guasti sono un rischio giornaliero.  Poiché il backup contiene tutti i dati aziendali va protetto adeguatamente (crittografia?).

21 Conclusioni

22 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 22 /27 22 conclusioni   La sicurezza non è un prodotto,  ma un processo.  Essere consci è il primo passo: le aziende devono proteggere i nostri dati, noi dobbiamo pretendere che siano adeguatamente protetti.

23 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 23 /27 23 conclusioni  Le mie esigenze e le tecnologie cambiano rapidamente. Voglio sapere e verificare periodicamente chi possiede dati che mi riguardano, a che titolo e per che fine; ma soprattutto come li conserva.  Pretendo che i miei dati, indipendentemente dalla loro presunta “segretezza”, vengano comunque gestiti con metodi che ne garantiscano l'effettiva e necessaria riservatezza.

24 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 24 /27 24 Bibliografia  http://www.garanteprivacy.it - documenti varii http://www.garanteprivacy.it  http://www.aipnet.it - mailing list http://www.aipnet.it  http://www.sikurezza.org - lex mailing list http://www.sikurezza.org  http://www.recursiva.org/documenti/sicurezza_e_privacy.p df http://www.recursiva.org/documenti/sicurezza_e_privacy.p df  http://punto-informatico.it/p.asp?i=52086&r=PI http://punto-informatico.it/p.asp?i=52086&r=PI

25 https://www.recursiva.org/slides/196_eprivacy.pdfmayhem@recursiva.org pag. 25 /27 25 Licenza Queste slide sono state realizzate da Alessio L.R. Pennasilico, mayhem, per AIPSI e sono soggette alla licenza Creative Commons nella versione Attribution-ShareAlike 2.0; possono pertanto essere distribuite liberamente ed altrettanto liberamente modificate, a patto che se ne citi l’autore e la provenienza.

26 ? Domande

27 Grazie per l’attenzione! Alessio L.R. Pennasilico mayhem@recursiva.org http://www.aipsi.org

Scaricare ppt "Mi adeguo alla legge. E mi sento inadeguato. Alessio L.R. Pennasilico"

Presentazioni simili

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Eugenia Franzoni Il software libero Catnic Srl. Si può comprare un software?

Eugenia Franzoni Il software libero Catnic Srl. Si può comprare un software?
pag. 1 /27 Le bollette le voglio in busta chiusa e la cassetta delle lettere deve avere una.

pag. 1 /27 Le bollette le voglio in busta chiusa e la cassetta delle lettere deve avere una.
OBIETTIVI di REVISIONE Bettina Campedelli - Revisione aziendale e sistemi di controllo 1 per poter esprimere il giudizio di revisione il revisore scompone.

OBIETTIVI di REVISIONE Bettina Campedelli - Revisione aziendale e sistemi di controllo 1 per poter esprimere il giudizio di revisione il revisore scompone.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.

Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Bortolin Giovanni, Ortolan Moreno, Valeri Luca.  servizio Internet fruibile tramite Web o applicazioni mobili  facilita la gestione dei rapporti sociali.

Bortolin Giovanni, Ortolan Moreno, Valeri Luca.  servizio Internet fruibile tramite Web o applicazioni mobili  facilita la gestione dei rapporti sociali.
Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,

Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,
Informatica e processi aziendali

Informatica e processi aziendali
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO

HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Sistemi e Applicazioni per l’Amministrazione Digitale

Sistemi e Applicazioni per l’Amministrazione Digitale
Aggiornamento del 29 Settembre 2011

Aggiornamento del 29 Settembre 2011
Internazionalizzazione – Ricerca – Innovazione - Sviluppo

Internazionalizzazione – Ricerca – Innovazione - Sviluppo
ALTERNANZA SCUOLA-LAVORO (ASL)

ALTERNANZA SCUOLA-LAVORO (ASL)
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi

LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
Relazione del Segretario: Status AIDB 2009

Relazione del Segretario: Status AIDB 2009
Social Media Governance

Social Media Governance
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)

Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Sistemi e Applicazioni per l’Amministrazione Digitale

Sistemi e Applicazioni per l’Amministrazione Digitale
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]

CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]

Presentazioni simili

Annunci Google