SlideShare a Scribd company logo

Sicurezza: cosa si può fare approccio e best practice internazionali

DI.TECH - Innovazione per la distribuzione
DI.TECH - Innovazione per la distribuzione
Sports
1 of 15
Download to read offline
Cosa si può (o si dovrebbe) fare. Approccio metodologico e best practice internazionali Franco Prosperi
Cosa si può fare?
 Cosa si intende per “Sicurezza delle Informazioni”?  Quali sono gli obiettivi di un processo per la “Sicurezza delle Informazioni”? • Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento • Garantire la continuità del Business Aziendale • Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative) • Proteggere l’immagine e la reputazione aziendale • Promuovere all’interno dell’organizzazione una cultura della sicurezza e della riservatezza LA SICUREZZA DELLE INFORMAZIONI La Sicurezza delle Informazioni nell’impresa di oggi è “il raggiungimento di una condizione dove i rischi ed i controlli sulle informazioni sono bilanciati.” Jim Anderson, Inovant (2002) 3
“Conosci il nemico come conosci te stesso….” “Se non conosci te stesso, né conosci il tuo nemico, sii certo che ogni battaglia sarà per te fonte di pericolo gravissimo.” Sun Tzu - L’arte della guerra LA NECESSITÀ DI CONOSCERE 4
BASTA LA TECNOLOGIA ???? 5
CONSIDERAZIONI La portata del rischio derivante dai diversi agenti di minaccia dipende da molti fattori legati al contesto aziendale quali: 1. la dimensione 2. il settore di mercato in cui opera 3. la visibilità dell’impresa sul mercato 4. la localizzazione geografica 5. le politiche e i regolamenti aziendali vigenti 6. il livello di cultura e consapevolezza sui temi di sicurezza 1. il clima aziendale 2. gli strumenti tecnologici adottati 3. le soluzioni di sicurezza implementate 4. i processi di gestione e di controllo Per ridurre il rischio, visto che non è possibile (o molto difficile) intervenire sui primi 4 punti, è necessario adottare un processo strutturato che consenta di individuare gli interventi appropriati sui restanti fattori. 6
I COSTI DELLA SICUREZZA Costo del Rischio Livello di Sicurezza Costi Costo complessivo Costo della Sicurezza Misure idonee Il Costo della sicurezza è formato da i seguenti costi: •selezionare, formare e mantenere personale qualificato; •acquisti tecnologia hardware e software; •aumento della complessità operativa ed organizzativa (politiche e procedure) •incremento dell’overhead e degrado delle performance del sistema E’ un valore che si può misurare Il Costo del Rischio è formato da i seguenti costi: •sanzioni amministrative; •sanzioni di tipo penale; •responsabilità civile; •blocco dell’operatività aziendale; •perdita/furto di asset aziendali; •perdita di immagine/competitività E’ un valore statistico difficilmente quantificabile Le misure idonee sono quel livello di sicurezza dove il costo complessivo è al minimo Costo della sicurezza + Costo del Rischio = Costo Complessivo 7
Asset 4 Il primo step necessario per implementare un processo di Information Governance è quello di documentare e relazionare fra loro i seguenti elementi:  i processi aziendali  gli asset informativi aziendali da questi utilizzati In questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi. N.B. Anche fra gli asset possono esistere delle relazioni di dipendenza Utilizza Processo A Asset 1 Asset 2 Asset 3 Utilizza Processo B
INFORMATION GOVERNANCE RISK MANAGEMENT 9 HighImpactLow High Frequency Business Impact Analysis Risk assessment Risk treatment Training and awareness Audit & Review
IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE 10
ISO27001 Human Resource security Communicat ions and operations management Compliance Access control Physical and environmental Security Information systems Acquisition, Developmen, and maintenance Asset management Incident management Organization of information security Security policy Business continuity management INFORMATION SECURITY: GLI 11 ASPETTI DELL’ ISO 27001 11
PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Classificazione delle informazioni Il Codice definisce come dati personali tutto le informazioni che identificano un soggetto, e fra queste identifica 2 sottocategorie chiamate “dati sensibili” e “dati giudiziari” per i quali il livello di protezione deve essere più elevato. In ambito aziendale possono essere definiti più livelli di classificazione dei dati, a seconda delle esigenze di riservatezza . Un esempio di classificazione può essere: “public document”, “company confidential” , “high confidential”, “Top secret”. Con il crescere del livello di classe, aumentano le protezioni da utilizzare e si restringe l’ambito delle persone che ne possono venire a conoscenza. Lettere di incarico L’incaricato del trattamento riceve dal Titolare o dal Responsabile, in quanto rappresentatati dell’azienda, l’autorizzazione a compiere i trattamenti di dati personali che sono necessari allo svolgimento del proprio lavoro. Allo stesso tempo, si richiama l’incaricato al rispetto delle regole imposte dal Codice ed a quelle definite dall’azienda. Le politiche che indirizzano la protezione dei beni aziendali, le relative procedure operative ed i regolamenti interni si possono considerare l’equivalente della lettera di incarico, in quanto la natura mandatoria comporta l’accettazione delle responsabilità derivanti da parte del dipendente o collaboratore. Formazione Obbligatoria e preventiva per tutti gli incaricati del trattamento. La formazione è necessaria per rendere edotto tutto il personale sulle politiche, le procedure e le prassi aziendali. Inoltre è molto importante spiegare bene quali sono i rischi che incombono sui trattamenti dei dati nelle attività specifiche delle persone. 12
PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Analisi dei rischi All’interno del Documento Programmatico sulla Sicurezza, è richiesto che sia effettuata una analisi dei rischi che incombono sui trattamenti di dati personali. E’ parte fondamentale di tutte le moderne metodologie di Corporate Governance il processo di Risk Management. Tutti gli eventi dannosi devono essere identificati, valutata la possibilità di un loro accadimento e ipotizzati gli impatti finanziari. Questo processo consente di poter valutare correttamente le strategie per la mitigazione dei suddetti rischi. Misure di sicurezza. Il legislatore impone a tutti i Titolari di trattamenti di dati personali, delle misure minime di sicurezza sia per le informazioni gestite in formato elettronica (con strumenti informatici) che in formato cartaceo. E’ lasciata poi alla discrezione del Titolare, l’eventuale adozione di ulteriori misure di sicurezza nel caso che l’analisi dei rischi evidenzi rischi elevati sui trattamenti. Nell’ambito degli asset aziendali, è interesse primario dell’azienda stessa definire che cosa e come deve essere protetto. Il livello minimo di sicurezza (Baseline security) deve derivare dai comuni standard di gestione degli ambienti informatici e dal confronto con altre aziende similari e del settore. L’analisi dei rischi consente di definire le misure di sicurezza ulteriori Revisione obbligatoria almeno annuale Tutti i documenti, i processi e le misure di sicurezza predisposti in ottemperanza alla normativa, devono essere rivisti ed aggiornati con frequenza almeno annuale Un processo strutturato di Gestione delle Informazioni, per continuare ad essere efficace, deve essere monitorato e rivisto continuamente, per rispondere ai cambiamenti che possono avvenire all’interno o all’esterno dell’azienda, sul mercato e nelle tecnologie a disposizione. 13
FINE Grazie per l’attenzione. 14
QUAL È QUELLA SBAGLIATA ? 15

Recommended

Amministratore di sistema
Amministratore di sistemaAmministratore di sistema
Amministratore di sistemaDanieleCurto1
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Security Governance
Security GovernanceSecurity Governance
Security GovernanceConsorzio Sicurezza Gruppo Iris
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Privacy E Ads
Privacy E AdsPrivacy E Ads
Privacy E Adsasdasdaro
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 

Recommended

Amministratore di sistema
Amministratore di sistemaAmministratore di sistema
Amministratore di sistemaDanieleCurto1
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Security Governance
Security GovernanceSecurity Governance
Security GovernanceConsorzio Sicurezza Gruppo Iris
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Privacy E Ads
Privacy E AdsPrivacy E Ads
Privacy E Adsasdasdaro
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guidaOrdine Ingegneri Lecco
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011Council of Europe
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZAVincenzo Calabrò
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 

More Related Content

What's hot

Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 

What's hot (9)

Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 

Similar to Sicurezza: cosa si può fare approccio e best practice internazionali

Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 

Similar to Sicurezza: cosa si può fare approccio e best practice internazionali (20)

Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 

More from DI.TECH - Innovazione per la distribuzione

Delivering per la dematerializzazione dei documenti legati alla consegna dell...
Delivering per la dematerializzazione dei documenti legati alla consegna dell...Delivering per la dematerializzazione dei documenti legati alla consegna dell...
Delivering per la dematerializzazione dei documenti legati alla consegna dell...DI.TECH - Innovazione per la distribuzione
 

More from DI.TECH - Innovazione per la distribuzione (8)

Delivering per la dematerializzazione dei documenti legati alla consegna dell...
Delivering per la dematerializzazione dei documenti legati alla consegna dell...Delivering per la dematerializzazione dei documenti legati alla consegna dell...
Delivering per la dematerializzazione dei documenti legati alla consegna dell...
 
Premio primo contest community tecnologica
Premio primo contest community tecnologicaPremio primo contest community tecnologica
Premio primo contest community tecnologica
 
Regole generali contest community tecnologica
Regole generali contest community tecnologicaRegole generali contest community tecnologica
Regole generali contest community tecnologica
 
Perchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it managerPerchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it manager
 
I casi di sicurezza nel mondo retail
I casi di sicurezza nel mondo retailI casi di sicurezza nel mondo retail
I casi di sicurezza nel mondo retail
 
La simulazione comportamentale
La simulazione comportamentaleLa simulazione comportamentale
La simulazione comportamentale
 
Le normative e i regolamenti interni fra obbligo e opportunità
Le normative e i regolamenti interni fra obbligo e opportunitàLe normative e i regolamenti interni fra obbligo e opportunità
Le normative e i regolamenti interni fra obbligo e opportunità
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 

Sicurezza: cosa si può fare approccio e best practice internazionali

  • 1. Cosa si può (o si dovrebbe) fare. Approccio metodologico e best practice internazionali Franco Prosperi
  • 2. Cosa si può fare?
  • 3.  Cosa si intende per “Sicurezza delle Informazioni”?  Quali sono gli obiettivi di un processo per la “Sicurezza delle Informazioni”? • Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento • Garantire la continuità del Business Aziendale • Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative) • Proteggere l’immagine e la reputazione aziendale • Promuovere all’interno dell’organizzazione una cultura della sicurezza e della riservatezza LA SICUREZZA DELLE INFORMAZIONI La Sicurezza delle Informazioni nell’impresa di oggi è “il raggiungimento di una condizione dove i rischi ed i controlli sulle informazioni sono bilanciati.” Jim Anderson, Inovant (2002) 3
  • 4. “Conosci il nemico come conosci te stesso….” “Se non conosci te stesso, né conosci il tuo nemico, sii certo che ogni battaglia sarà per te fonte di pericolo gravissimo.” Sun Tzu - L’arte della guerra LA NECESSITÀ DI CONOSCERE 4
  • 6. CONSIDERAZIONI La portata del rischio derivante dai diversi agenti di minaccia dipende da molti fattori legati al contesto aziendale quali: 1. la dimensione 2. il settore di mercato in cui opera 3. la visibilità dell’impresa sul mercato 4. la localizzazione geografica 5. le politiche e i regolamenti aziendali vigenti 6. il livello di cultura e consapevolezza sui temi di sicurezza 1. il clima aziendale 2. gli strumenti tecnologici adottati 3. le soluzioni di sicurezza implementate 4. i processi di gestione e di controllo Per ridurre il rischio, visto che non è possibile (o molto difficile) intervenire sui primi 4 punti, è necessario adottare un processo strutturato che consenta di individuare gli interventi appropriati sui restanti fattori. 6
  • 7. I COSTI DELLA SICUREZZA Costo del Rischio Livello di Sicurezza Costi Costo complessivo Costo della Sicurezza Misure idonee Il Costo della sicurezza è formato da i seguenti costi: •selezionare, formare e mantenere personale qualificato; •acquisti tecnologia hardware e software; •aumento della complessità operativa ed organizzativa (politiche e procedure) •incremento dell’overhead e degrado delle performance del sistema E’ un valore che si può misurare Il Costo del Rischio è formato da i seguenti costi: •sanzioni amministrative; •sanzioni di tipo penale; •responsabilità civile; •blocco dell’operatività aziendale; •perdita/furto di asset aziendali; •perdita di immagine/competitività E’ un valore statistico difficilmente quantificabile Le misure idonee sono quel livello di sicurezza dove il costo complessivo è al minimo Costo della sicurezza + Costo del Rischio = Costo Complessivo 7
  • 8. Asset 4 Il primo step necessario per implementare un processo di Information Governance è quello di documentare e relazionare fra loro i seguenti elementi:  i processi aziendali  gli asset informativi aziendali da questi utilizzati In questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi. N.B. Anche fra gli asset possono esistere delle relazioni di dipendenza Utilizza Processo A Asset 1 Asset 2 Asset 3 Utilizza Processo B
  • 9. INFORMATION GOVERNANCE RISK MANAGEMENT 9 HighImpactLow High Frequency Business Impact Analysis Risk assessment Risk treatment Training and awareness Audit & Review
  • 10. IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE 10
  • 12. PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Classificazione delle informazioni Il Codice definisce come dati personali tutto le informazioni che identificano un soggetto, e fra queste identifica 2 sottocategorie chiamate “dati sensibili” e “dati giudiziari” per i quali il livello di protezione deve essere più elevato. In ambito aziendale possono essere definiti più livelli di classificazione dei dati, a seconda delle esigenze di riservatezza . Un esempio di classificazione può essere: “public document”, “company confidential” , “high confidential”, “Top secret”. Con il crescere del livello di classe, aumentano le protezioni da utilizzare e si restringe l’ambito delle persone che ne possono venire a conoscenza. Lettere di incarico L’incaricato del trattamento riceve dal Titolare o dal Responsabile, in quanto rappresentatati dell’azienda, l’autorizzazione a compiere i trattamenti di dati personali che sono necessari allo svolgimento del proprio lavoro. Allo stesso tempo, si richiama l’incaricato al rispetto delle regole imposte dal Codice ed a quelle definite dall’azienda. Le politiche che indirizzano la protezione dei beni aziendali, le relative procedure operative ed i regolamenti interni si possono considerare l’equivalente della lettera di incarico, in quanto la natura mandatoria comporta l’accettazione delle responsabilità derivanti da parte del dipendente o collaboratore. Formazione Obbligatoria e preventiva per tutti gli incaricati del trattamento. La formazione è necessaria per rendere edotto tutto il personale sulle politiche, le procedure e le prassi aziendali. Inoltre è molto importante spiegare bene quali sono i rischi che incombono sui trattamenti dei dati nelle attività specifiche delle persone. 12
  • 13. PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Analisi dei rischi All’interno del Documento Programmatico sulla Sicurezza, è richiesto che sia effettuata una analisi dei rischi che incombono sui trattamenti di dati personali. E’ parte fondamentale di tutte le moderne metodologie di Corporate Governance il processo di Risk Management. Tutti gli eventi dannosi devono essere identificati, valutata la possibilità di un loro accadimento e ipotizzati gli impatti finanziari. Questo processo consente di poter valutare correttamente le strategie per la mitigazione dei suddetti rischi. Misure di sicurezza. Il legislatore impone a tutti i Titolari di trattamenti di dati personali, delle misure minime di sicurezza sia per le informazioni gestite in formato elettronica (con strumenti informatici) che in formato cartaceo. E’ lasciata poi alla discrezione del Titolare, l’eventuale adozione di ulteriori misure di sicurezza nel caso che l’analisi dei rischi evidenzi rischi elevati sui trattamenti. Nell’ambito degli asset aziendali, è interesse primario dell’azienda stessa definire che cosa e come deve essere protetto. Il livello minimo di sicurezza (Baseline security) deve derivare dai comuni standard di gestione degli ambienti informatici e dal confronto con altre aziende similari e del settore. L’analisi dei rischi consente di definire le misure di sicurezza ulteriori Revisione obbligatoria almeno annuale Tutti i documenti, i processi e le misure di sicurezza predisposti in ottemperanza alla normativa, devono essere rivisti ed aggiornati con frequenza almeno annuale Un processo strutturato di Gestione delle Informazioni, per continuare ad essere efficace, deve essere monitorato e rivisto continuamente, per rispondere ai cambiamenti che possono avvenire all’interno o all’esterno dell’azienda, sul mercato e nelle tecnologie a disposizione. 13
  • 15. QUAL È QUELLA SBAGLIATA ? 15