La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza informatica: Lo stato dell’arte e le novità normative

PubblicatoAdamo Parodi Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "Sicurezza informatica: Lo stato dell’arte e le novità normative"— Transcript della presentazione:

1 Sicurezza informatica: Lo stato dell’arte e le novità normative
20 gennaio 2017

2 Gabriele Faggioli Legale CEO Partners4innovation (Digital 360)
Adjunct Professor MIP-Politecnico di Milano Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica) Membro del Group of Expert in Cloud Computing Contract della Commissione Europea Responsabile scientifico dell’Osservatorio Security & Privacy del Politecnico di Milano

3 Rapporto CLUSIT 2016 Dalla edizione del Rapporto Clusit, completata nel Gennaio 2016, è emersa l’assenza di: un’adeguata consapevolezza a livello globale nei confronti delle minacce cibernetiche; adeguati investimenti in termini economici; una visione prospettica necessaria ad affrontare un problema che richiede tempi di reazione estremamente rapidi.

4 2016: il rischio «cyber» diventa inaccettabile (1/2)
Lo scenario attuale: Da un lato: a partire dal 2016 l’Italia si è dotata di un articolato «Piano nazionale per la protezione cibernetica e la sicurezza informatica»; del febbraio 2016 è la pubblicazione di un «Framework Nazionale di Cyber Security», frutto di un’inedita partnership tra pubblico e privato; D’altro lato, però: le tipologie di aggressori si sono moltiplicate; le perdite economiche sono aumentate di 4 volte; è aumentata in modo significativo la superficie di attacco, in conseguenza del crescente processo di digitalizzazione (Social Media, Cloud, Mobile ed Internet of Things); il settore dell’ICT ha subito tagli di budget.

5 2016: il rischio «cyber» diventa inaccettabile (2/2)
Ciò imporrebbe di adottare dei piani strategici a livello nazionale, che coinvolgano l’architettura istituzionale di sicurezza cibernetica; al contrario, negli ultimi tre anni il divario tra percezione dei rischi «cyber» e realtà, tra gravità di questi rischi ed efficacia delle contromisure adottate, è aumentato; attualmente, dunque, il tema della cybersecurity non è ancora gestito in modo efficace.

6 Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia
DISTRIBUZIONE DEGLI ATTACCANTI PER TIPOLOGIA Rispetto al 2014, nel 2015 le tipologie di attaccanti sono così ripartite: Cybercrime (+30,04%, con 684 attacchi) Hacktivism (- 11%, con 209 attacchi) Espionage (+ 40%, con 96 attacchi) Information welfare (-50%, con 23 attacchi)

7 Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia
DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (1/2) Rispetto al 2014, nel 2015 la crescita maggiore degli attacchi gravi si osserva verso: Critical Infrastructures (+ 153,85%) Online Services/Cloud (+ 81,55%) Entertainment/News (+ 79,22%) Automotive (+ 66,67%)

8 Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia
DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (2/2) Research/Education (+ 51,85%) Banking/Finance (+28%) Software/Hardware vendor (+ 25%) Health (+ 12,50%)

9 Osservatorio Politecnico di Milano I risultati 2015 – Le fonti di attacco
18% Competitor 49% Lavoratori attuali 58% Associazioni criminali Ex lavoratori 14% Interne Esterne Collaboratori diretti 30% 46% Hacktivist Le fonti di attacco sono eterogenee, ed i numeri confermano che sono sia di origine esterna che interna. Infatti, accanto al rimine organizzato e agli hacktivist, anche i lavori attuali ed i collaboratori diretti rappresentano fonti di attacco rilevanti. Provider di servizio IT 17% Campione : 124 rispondenti

10 Osservatorio Politecnico di Milano I risultati 2015 – Le principali vulnerabilità
Inconsapevolezza rispetto alle policy aziendali 78% Distrazione delle persone 56% Accesso in mobilità alle informazioni 47% Presenza di device mobile personali (BYOD) 33% Architettura IT obsoleta 18% In effetti, analizzando le principali vulnerabilità, emerge come sia proprio l’inconsapevolezza sulle privacy aziendali e la distrazione delle persone a rappresentare il rischio maggiore. Vi sono poi anche elementi legati all’accesso in mobilità alle informazioni e piu’ in generale alla compresenza in ambito business anche di device personali. Da non dimenticare, inoltre, gli aspetti tecnologici, legati ad un architettura IT spesso non allo stato dell’arte. Campione : 125 rispondenti

11 La normativa cogente: sviluppi passati, attuale e trend futuri
Linee di tendenza normative Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO

12 EVOLUZIONE NORMATIVA La normativa sulla privacy ha avuto una serie di passaggi rilevanti: 1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con relative, importanti, responsabilità. Seguirono poi le misure di sicurezza di cui al D.P.R , n. 318: Pregio: grandissima valenza educativa Difetto: normativa sperimentale, ampiezza e farraginosità della normativa 2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B. Esistono però numerosi provvedimenti ancillari alla normativa che prevedono misure di sicurezza obbligatorie per una serie di trattamenti e interi settori di mercato Pregio: plasmatura per settori di mercato Difetto: scarsa capacità della norma di adeguarsi alle evoluzioni tecnologiche (cookies) 2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come posizionarsi

13 LINEE DI TENDENZA NEGLI ULTIMI ANNI
Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO

14 art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS
MISURE TECNICHE E ORGANIZZATIVE appropriate adeguate art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS

15 art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS
MISURE TECNICHE E ORGANIZZATIVE per gestire i rischi legati alla sicurezza dei servizi fiduciari per garantire un livello di sicurezza adeguato al rischio art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS

16 IL PERCORSO NORMATIVO ? 13 Dicembre 2016 Leggi nazionali, Linee guida,
Provvedimenti e Autorizzazioni dell’Autorità 13 Dicembre 2016 Pubblicazione delle Linee Guida (WP Art.29) 25 maggio 2018 Il Regolamento n. 679/2016 diventa applicabile 24 Maggio 2016 Entrata in vigore del Regolamento n. 679/2016 10 gennaio 2017 Proposta di Regolamento per la riforma della Direttiva E-Privacy

17 COSA ACCADE A MAGGIO 2018 Regolamento 2016/679
IN VIGORE, NON APPLICABILE (?) Direttiva 1995/46 IN VIGORE, DECADE il 24 maggio 2018 Autorizzazioni Generali Autorità Garante IN VIGORE, DECADONO il 24 maggio 2018 Provvedimenti Autorità Garante NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Accordi internazionali su trasferimento dati NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Decisioni Commissione UE NON DECADONO fino a quando non verranno modificate, sostituite, abrogate

18 GRAZIE

Scaricare ppt "Sicurezza informatica: Lo stato dell’arte e le novità normative"

Presentazioni simili

PIANIFICAZIONE STRATEGICA è orientata alla formulazione e alla valutazione delle strategie aziendali e alla definizione dei piani operativi è teso ad accertare.

PIANIFICAZIONE STRATEGICA è orientata alla formulazione e alla valutazione delle strategie aziendali e alla definizione dei piani operativi è teso ad accertare.
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Principali Direttive di prodotto applicabili alle macchine maggio 2016

Principali Direttive di prodotto applicabili alle macchine maggio 2016
Al servizio di gente unica LA RESPONSABILITÀ SOCIALE D’IMPRESA: Direzione centrale lavoro, formazione, commercio e pari opportunità UNO STRUMENTO DI INNOVAZIONE.

Al servizio di gente unica LA RESPONSABILITÀ SOCIALE D’IMPRESA: Direzione centrale lavoro, formazione, commercio e pari opportunità UNO STRUMENTO DI INNOVAZIONE.
Fonti del diritto amministrativo

Fonti del diritto amministrativo
PERCORSO FORMATIVO ALTERNANZA SCUOLA LAVORO I.t.i.s. Luigi dell’Erba as 2015/2016 a cura di Prof.sa Sabrina Monteleone I CONTRATTI COLLETTIVI NAZIONALI(CCNL)

PERCORSO FORMATIVO ALTERNANZA SCUOLA LAVORO I.t.i.s. Luigi dell’Erba as 2015/2016 a cura di Prof.sa Sabrina Monteleone I CONTRATTI COLLETTIVI NAZIONALI(CCNL)
La Business Continuity dall’esperienza Unicredit alla P.A.

La Business Continuity dall’esperienza Unicredit alla P.A.
La fiscalità dei compensi corrisposti ai procuratori

La fiscalità dei compensi corrisposti ai procuratori
La Direttiva Bolkestein

La Direttiva Bolkestein
Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.

Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.
L'andamento del Mercato Digitale in Italia,

L'andamento del Mercato Digitale in Italia,
Erica Palmerini Istituto DIRPOLIS Scuola Superiore Sant’Anna

Erica Palmerini Istituto DIRPOLIS Scuola Superiore Sant’Anna
Internazionalizzazione – Ricerca – Innovazione - Sviluppo

Internazionalizzazione – Ricerca – Innovazione - Sviluppo
RISARCIMENTO e DATA PROTECTION:

RISARCIMENTO e DATA PROTECTION:
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.

Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Il Responsabile della protezione dei dati:

Il Responsabile della protezione dei dati:
SMART WORKING E RUOLO DEL MIDDLE MANAGEMENT Pierluigi Richini

SMART WORKING E RUOLO DEL MIDDLE MANAGEMENT Pierluigi Richini
Dematerializzazione, Sicurezza ed Amministrazione Trasparente

Dematerializzazione, Sicurezza ed Amministrazione Trasparente
GPOI - L’organizzazione aziendale -

GPOI - L’organizzazione aziendale -
FONTI DEL TURISMO.

FONTI DEL TURISMO.

Presentazioni simili

Annunci Google