Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Data Breach e Garante Privacy: Problemi e soluzioni

684
views

Published on

In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti …

In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare  perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" ("data breaches") che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
DFLabs propone un approccio integrato e modulare tra Consulenza (Policy e Procedure di Data Breach), Servizi (Incident Response) e Tecnologie di Incident management (IncMan Suite). In particolare, Incman consente di gestire interamente l'inventario e la reportistica sul data breach richiesta dal Garante Privacy.

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
684
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Data Breach: nuovo provvedimento delGarante Privacy: La risposta di DFlabs Dario V Forte, CISM, CFE, CGEIT Founder and CEO DFLabs www.dfdlabs.com
  • 2. About DFLabs Specializzata in Governance Risk and Compliance dal 2004 Tre practices: Consulting, Professional Services & Technologies Fortune 1000 Customers. Sedi in Italia, USA, Russia. Due Patent Pending negli USA ed Europa.
  • 3. Agenda Il nuovo provvedimento del Garante Privacy in materia di data breach I rischi di tipo normativo e sanzionatorio La proposta di Dflabs in materia di Data Breach Investigations: Consulenza, Servizi e Software Dedicato. Contatti e demo: IncMan Suite.
  • 4. Risk Mitigation Benchmark Fonte: Dflabs&Terremark IncidentIT Prevention andSecurityProcess PreparationManagement and (IncludingSupport, including Enterprise Forensics andvulnerability Business Fraud) Securitymanagement Application Incident Security Response and Management investigation Business Risk Management, (Including Policy, standards, Technologies, Legal and guidelines Forensics and Fraud) Page  4
  • 5. Data Breach e Garante PrivacyIn caso di distruzione o perdita dei dati personali società telefonichee Internet provider avranno lobbligo di avvisare gli utentiSocietà telefoniche e Internet provider dovranno assicurare la massimaprotezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello diavvisare gli utenti dei casi più gravi di violazioni ai loro data base chedovessero comportare perdita, distruzione o diffusione indebita di dati.In attuazione della direttiva europea in materia di sicurezza e privacy nelsettore delle comunicazioni elettroniche, di recente recepita dallItalia, ilGarante per la privacy ha fissato un primo quadro di regole in base allequali le società di tlc e i fornitori di servizi di accesso a Internet sarannotenuti a comunicare, oltre che alla stessa Autorità, anche agli utentile "violazioni di dati personali" ("data breaches") che i loro data basedovessero subire a seguito di attacchi informatici, o di eventi avversi, qualiincendi o altre calamità.
  • 6. Incombenze (1) Chi deve comunicare le violazioni Lobbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. Ladempimento non riguarda – al momento - le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
  • 7. Incombenze (2) La comunicazione al Garante La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dellevento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dellentità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare ladempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (www.garanteprivacy.it) Allesito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
  • 8. Incombenze (3)La comunicazione agli utenti Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno lobbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla "attualità" dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
  • 9. Incombenze (4)I controlli del Garante Per consentire lattività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.Le sanzioni Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dellinventario aggiornato è punita con la sanzione da 20mila a 120mila euro.
  • 10. Cosa comporta ideare e individuare contromisure Conoscenza approfondita della matrice target/rischio Conoscenza adeguata delle tipologie di contromisure disponibili nei seguenti settori:  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno Committment aziendale almeno a C-Level
  • 11. DFLabs Background DFLabs è preferred partner di Beazely International (lloyds of London) per le Data Breach Investigations. L’azienda è specializzata a livello internazionale in Organizzazione, Politiche, Procedure e Technologies di Incident Management e Data Breach Oltre 2.3 Petabytes di Incident and Data Breach Investigati negli ultimi 3 anni. Membri ISO. Co/Editor della 27043 e 27031 Oltre 250 clienti di fascia alta in tutto il mondo nello specifico settore.
  • 12. La proposta di DFlabs DFLabs propone una soluzione alla gestione dei Data Breach su tre livelli:  Organizzativo/Procedurale  Software dedicato all’inventario e al reporting.  Servizi di supporto Data Breach Response
  • 13. Workflow ManagementProcessi, Procedure ed operatività Qualifica del livello di Processo di gestione Processo di Reazione severity degli incidenti  IODEF  Engagement ed  Procedure di reazione in  NIST escalation base alla severity  ITIL v3 (se richiesto)  Rapporti con l’AG/PG  Reazione Vs  Mappatura di quanto  Rapporti con gli organi di Hacking/Malicious Code esistente o creazione del vigilanza interni ed  Reazione Vs Attacchi Su modello esterni Target Cliente  Processo di Digital  Reazione VS attacchi su Forensics. target esterni  Training and Testing
  • 14. L’Inventario degli incidenti: IncMan Suite - Modules CompRisk Incidents are mapped to IT risk repositories and help the GRC team to evaluate incident’s risk to the organization DIM IMAN ITILityDigital Investigation Manager IMAN manages IT and corporate ITILity provides troubleshooting(DIM) is designed for IT security incidents. The tool covers and help desk support to manageenvironments during incident all aspects concerning incident IT incidents under the ITILresponse and forensics operations. management whether simple or standardDIM enables users to catalog all complex. The IMAN modulethe relevant information and supports anonymous reporting ofautomatically imports data incidents and ethics violations.generated by other applications.
  • 15. IncMan Top Features Gestisce oltre 170 categorie di dati su di un encrypted database Completo Role Management . Totalmente clientless. IODEF Compliant IT GRC Features: Ipuò contenere un numero illlimitato di controlli IT, Security e compliance Wizard – il Cliente puo’ creare una serie illimitata di template completamente riutilizzabili Knowledge base – il Cliente può fruire di un repository dinamico di documenti, politiche e procedure facilmente consultabili dagli utenti autorizzati Agile reporting – Oltre 100 report customizzabili dal Cliente già pronti all’uso Secure access – varie tipologie di autenticazione disponibili Case notes – è possibile gestire i casi, gli incidenti, gli inventari e le comunicazioni in totale autonomia. Open Architecture: può interagire automaticamente con l’infrastruttura di sicurezza esistente in azienda Saas and Cloud Ready: fornisce al Cliente un nuovo ventaglio di opportunità di business. I Clienti possono fruire di varie viste, dal management, alla dashboard all’accesso read only.Page  15
  • 16. IncMan Suite integrations•Log management/SIEM management •Arcsight •Xpolog •Envision •Symantec •AV/UTM/IPS/IDS •Basically all the SIEM that can generate parsable content-•Vulnerability Assessment tools: •Nessus & co.•Forensic and Incident Response products •Encase Enterprise •PTK •FTK •X-Ways •Oxygen •Hardware acquisition tools (SOLO3, SOLO4, Tableau TD1, Logicube) •Mobile•Network forensic •Netwitness Page  16
  • 17. IncMan Suite - Comprehensive Security Incident Management Security Operations Centers Investigations, Risk, Audit and Compliance Officers Prioritization | Case Mgmt | Artifact Analysis | Resource/Task Mgmt Impact/Cost Analysis | Evidence/Chain of Custody | External/Law Enforcement Security Incidents Compliance Incidents Security Incidents Log Web/Appl Whistle Blower SIEMManagement Scanning ERP & HR LocationsConfiguration Identity & VulnerabilityManagement Access Management Health and Safety Forensic, Audit, e-DiscoveryFirewall / IPS Anti-Virus & End-Point / IDS White Listing Security Financial Systems IT Security, APT, Incident Fraud, Theft & Physical Security Response Investigations Page  17
  • 18. Example CSIRT/SOC: Incident Information flow CSIRT/SOC Operators and Incident A Supervisors (Internal) C-Level Dashboard Reports End Users Information Automation AuthoritiesIncident B(Customers) Data search Service Follow UpIncident C(Blended) Page  18
  • 19. IncMan Suite – Dashboard•La Dashboard è stata disegnata per conferire il massimo impatto visuale in un formatoimmediatamente comprensibile, unitamente all’uso di metriche e KPI;•Tutte le categorie di dati gestiti da IncMan possono confluire in roadmap•Sono disponibili, on the shelf, una serie di grafici già pronti per l’uso immediato.Page  19
  • 20. Dflabs Incman a supporto della Compliance Inventario Completo degli incidenti (oltre 170 categorie di informazioni) Reportistica completa nei confonti di Garante, organi di controllo ed utenti finali GRC Features (Controlli IT Security a dimostrazione delle contromisure adottate in caso di Data Breach) Security Asset Management Interazione automatica con l’infrastruttura di sicurezza del Cliente
  • 21. Dflabs Incman: generazione report per il Garante PrivacyIn sede di reportistica,l’operatore sceglie di inviare il report al Garante Privacy
  • 22. Dflabs Incman a supporto della ComplianceIl template (Customizable) è totalmente mappatosulle istruzioni fornite dal Garante
  • 23. Dflabs Incman a supporto della ComplianceLe informazionicontenute nel Reportvengonoautomaticamentememorizzate suldatabase protettodell’applicazione.
  • 24. Esempio di Pdf generatodall’applicazione (excerpt)
  • 25. Conclusioni Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management Richiede un impiego di risorse di varia provenienza e un budget adeguato L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo È richiesta la massima consapevolezza da parte degli utenti finali Dflabs è in grado di fornire un package completo per il supporto al Cliente su ogni tipo di Data Breach
  • 26. THANKSDario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy, Info@dflabs.com www.dflabs.com

×