Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione Europea (GDPR) e la sua attuazione con Netwrix Auditor
1. Netwrix
Maurizio Taglioretti
Country Manager Southern Europe
Netwrix Auditor
Introduzione al Regolamento Generale sulla Protezione dei
Dati dell’ Unione Europea (GDPR) e la sua attuazione con
Netwrix Auditor
2. Live Webinar
Giovedì 2 Febbraio alle 14:30
Introduzione al Regolamento
Generale sulla Protezione dei Dati
dell’ Unione Europea (GDPR) e la
sua attuazione con
Netwrix Auditor
3. Agenda
o Cos’è la GDPR
o 5 cose che dovreste sapere
o Chi se ne deve preoccupare e perchè?
o Step di preparazione alla GDPR
o Live Demo
o Q&A
o Risorse utili
4. Chi sono
Maurizio Taglioretti -Country Manager Netwrix
per l’Italia, Malta e Iberia , appassionato di
audit, compliance e sicurezza IT.
Socio (ISC)2 Italy Chapter
Twitter @mtaglior
linkedin: it.linkedin.com/in/tagliorettimaurizio
maurizio.taglioretti@netwrix.com
5. Tutte le organizzazioni che utilizzano i dati personali, siano
esse pubbliche o private, che memorizzano o elaborano i dati personali di
un cittadino dell'Unione Europea saranno obbligate a conformarsi alla
nuova legge, indipendentemente dallo stato di appartenenza.
Lo scopo della GDPR è di armonizzare e aggiornare le leggi che sono in
vigore da oltre 20 anni e portare il potere e il controllo dei dati personali,
di vitale importanza per l'economia globale, di nuovo nelle mani del
cittadino
Cosa è la GDPR
Quanto manca all’entrata in vigore
6. 5 cose che dovreste sapere
1. La GDPR è una normativa, NON una direttiva
2. Le sanzioni per chi non è compliance sono
enormi
3. É richiesto l’obbligo di informazione
CHIARA
4. Obbligatoria la notifica di violazione dei
dati
5. Il diritto all’oblio
7. GDPR: il glossario
o Data Controller
o Data Processor
o Data Protection Officer
o Directive
o Personal Data Breach
o Processing
o Regulation …
o www.eugdpr.org/glossary-of-terms.html
8. Chi dovrebbe preoccuparsene?
Tutte le aziende che trattano dati personali
di soggetti residenti nell'UE,
indipendentemente da dove si trovi la
società stessa
9. Quali sono i dati personali?
Secondo la Commissione Europea "i dati
personali sono qualunque
informazione relativa a un individuo,
collegata alla sua vita sia privata, sia
professionale o pubblica. Può riguardare
qualunque cosa: nomi, foto, indirizzi
email, dettagli bancari, interventi su siti
web di social network, informazioni
mediche o indirizzi IP di computer."
10. Perchè preoccuparsene?
Le sanzioni per la non conformità sono enormi e
dipendono dall'infrazione:
4% del fatturato globale annuo oppure € 20 M per
le violazioni più gravi
2% o € 10 M per le infrazioni minori
11. Cosa significa CONSENSO?
Se non è chiaro non è un CONSENSO!
o Il consenso è fornire un'indicazione
positiva di accordo
o Il consenso deve essere chiaro e specifico
o Fornito in forma comprensibile e
facilmente accessibile e verificabile
o Il consenso del genitore è richiesto
quando si tratta di minori
o Il consenso deve essere registrato
12. I Diritti dell’interessato
o Notifica delle violazioni
o Diritto di accesso ai dati
o Diritto all’oblio
o Portabilità dei Dati
o Privacy by Design
13. Soggetti coinvolti
Il Titolare del Trattamento, ora chiamato Data Controller
o Responsabile del trattamento, dotato di un potere
decisionale in ordine alle tecniche da adottare e alle
misure organizzative, al fine di garantire la conformità al
Regolamento delle operazioni di trattamento dei dati.
Il Responsabile esterno del Trattamento / Amministratore
di Sistema, ora chiamato Joint Controller o Co-
responsabile del trattamento (ad esempio un fornitore di
servizi in Cloud )
Il responsabile ed incaricato del trattamento, ora
chiamato Data Processor e Incaricato del Trattamento o
più semplicemente Data Handler, sarà l’attuale
responsabile e potrà procedere al trattamento dei dati
solo su istruzione del responsabile.
Il responsabile della sicurezza dei dati, ora chiamato Data
Protection Officer ( DPO )
14. Data Protection Officers
o Obbligatorio nella Pubblica
Amministrazione e nelle aziende
private che processano dati a
rischio.
o Deve essere nominato in base alla
qualità professionali
o Può essere un membro del
personale o un fornitore di servizi
esterno
o Riporta direttamente al più alto
livello manageriale
o Non deve svolgere eventuali
ulteriori compiti
15. Step di preparazione alla GDPR
1. Assicuratevi che le persone chiave siano a conoscenza
2. Organizzate un audit informativo (dove sono i dati, chi ha i permessi di
accesso... Etc)
3. Aggiornate la versione delle note sulla Privacy (su siti, documenti, form etc..)
4. Assicuratevi di rispettare i diritti individuali
5. Pianificate come gestire le richieste di accesso
6. Documentate la base giuridica per il trattamento dei dati personali (perchè i
dati vengono trattati? trattamento basato su consenso o giustificato da leggi,
legittimi interessi, ecc... )
7. Acquisite il consenso esplicito e Ottenete il consenso dei genitori
8. Garantite procedure per gestire le violazioni dei dati
9. Nominate un Data Protection Officer( responsabile della protezione dei dati),
se richiesto
10. Determinate l'autorità di controllo della protezione dei dati
11. Pensate come implementare un PIA o DPIA (Privacy Impact Assestment)
ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei
dati personali
16. Netwrix Auditor
Una piattaforma di #visibilitàcompleta e di governance che permette il controllo sulle
modifiche, sulle configurazioni, e sull’ accesso ai dati in ambienti IT hybrid cloud,
fornendo analisi di sicurezza per rilevare anomalie nel comportamento degli utenti e
indagare sulle minacce prima che si verifichi una violazione dei dati.
chi ha cambiato cosa, quandoe dove
E chi ha accesso a cosa
Netwrix Auditor
17. Netwrix Auditor i benefici
Elimina i punti ciechi e rende più
semplice l'identificazione delle modifiche
che violano le policy di sicurezza
aziendali contribuendo così a rilevare
attività sospette dell'utente e prevenire
violazioni
Fornisce dati di audit fruibili necessari
per dimostrare che il programma di
conformità IT dell'organizzazione
aderisce al PCI DSS, HIPAA, SOX, DLGs
196/03, ISO 27001, EU Data Protection
e altri audit.
Alleggerisce il lavoro dei dipartimenti IT
che normalmente devono districarsi
attraverso una gamma disparate di log
manualmente per ottenere le
informazioni su chi cambiato cosa,
quando e dove e chi ha accesso a cosa.
Rinforza la Sicurezza Semplifica la Compliance Ottimizza le Operazioni
18. Netwrix Auditor le Applicazioni
Netwrix Auditor for
Active Directory
Netwrix Auditor for
Windows File Servers
Netwrix Auditor for
Oracle Database
Netwrix Auditor for
Azure AD
Netwrix Auditor for
EMC
Netwrix Auditor for
SQL Server
Netwrix Auditor for
Exchange
Netwrix Auditor for
NetApp
Netwrix Auditor for
Windows Server
Netwrix Auditor for
Office 365
Netwrix Auditor for
SharePoint
Netwrix Auditor for
VMware
21. About Netwrix Corporation
Year of foundation: 2006
Headquarters location: Irvine, California
230,000 IT pros worldwide using Netwrix
products
Recognition: Among the fastest growing
software companies in the US with more
than 70 industry awards from Redmond
Magazine, SC Magazine, WindowsIT Pro
and others
Fast growth: Inc. 5000 for the fourth
time
Customer support: global 24/5 support
with 97% customer satisfaction
24. Versione di prova gratuita: installatela nei vostri ambienti per la verifica
netwrix.com/freetrial
Virtual Appliance:
https://www.netwrix.com/virtual_appliances.html
Test Drive: POC virtuale, provatelo nel laboratorio di Netwrix
netwrix.com/testdrive
Live One-to-One Demo: panoramica sul prodotto con gli esperti Netwrix
netwrix.com/livedemo
Contattate ufficio vendita per ricevere maggiori informazioni
netwrix.com/contactsales
Webinar: partecipate ai nostri webinar e guardate le sessioni registrate
netwrix.com/webinars
netwrix.com/webinars#featured
Prossimi passi:
Netwrix Auditor is not just an auditing tool. Using «File Analysis» feature, Netwrix Auditor can help you make better information management decisions for unstructured data.
Dealing with lots of customers daily, I face some common requests and FAQ about File Analysis. Doing this product demo, I’ll share with you the top FAQ and our answers to them:
Question 1: Do I have any overexposed data? Who has access permissions they shouldn’t have?
Report: Excessive Access Permissions: Shows accounts with access permissions to data they are not using (This report enables you to find and remove excessive permissions that may lead to a data leak).
Question 2: Have there been any unusual or suspicious spikes in file activity?
Report: User Activity Summary (Summarizes each user’s activity on file servers and enables you to identify suspicious spikes in this activity such as unusually high number of reads, modifications or failed access attempts).
Question 3: What data can I safely delete or archive to optimize my storage?
Report: Duplicate Files (Shows all potential duplicate files within the audit scope to prevent data sprawl and facilitate cleanup. Duplicates are identified by file size and file name).
Question 4: What data can I safely delete or archive to optimize my storage?
Report: Stale Data by Folder (Shows folders containing files with no recent changes (180 days by default). Allows to identify folders with large number of unused files, and drill down to see the list of files).
Question 5: What data can I safely delete or archive to optimize my storage?
Report: Empty Folders (Lists empty folders with their owners. This enables you to clean up confusing data structures and help increase user productivity).
Question 6: Who actually owns what data?
Report: Potential Data Owners by Folder (Shows the current folder owner and most active users that potentially are actual data owners).