Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR DAY 2018 - Rischio Data Breach: il Fattore Umano, Vulnerabilità Trascurate e Soluzioni Possibili.

116 views

Published on

Relatore: Adriana Franca, Country Manager presso DigiTree

Con la nuova normativa sulla protezione dei dati, le sanzioni per la non conformità e gli obblighi imposti in conseguenza a un data breach che comprometta dati personali possono mettere in ginocchio un’azienda, da un lato per il danno pecuniario, dall’altro per il danno d’immagine derivante dal rendere pubblico un incidente di sicurezza.
D’altro canto, il GDPR costituisce una straordinaria opportunità per le aziende perché fornisce l’occasione di riesaminare e rafforzare le proprie strategie di sicurezza IT in modo da proteggere al meglio non soltanto i dati personali e sensibili ma tutti i propri asset digitali.
Processi, tecnologie e persone costituiscono i tre pilastri di una Cyber Security vincente, ma purtroppo spesso le aziende si focalizzano principalmente sui primi due e sottovalutano il terzo. Al contrario, questo intervento mira a sottolineare l’importanza del fattore umano nella progettazione di un piano di sicurezza e protezione dei dati davvero efficace. Verranno illustrate alcune delle principali criticità che risultano sempre più evidenti in un mondo e in un modo di lavorare in rapida evoluzione e proposte delle soluzioni semplici ma efficaci per minimizzare il rischio di un incidente di sicurezza.
Tali soluzioni, inoltre, consentono alle aziende di dimostrare di aver adottato tutte le misure tecniche ed organizzative adeguate in conformità con i requisiti imposti dal GDPR e dai successivi decreti attuativi.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

GDPR DAY 2018 - Rischio Data Breach: il Fattore Umano, Vulnerabilità Trascurate e Soluzioni Possibili.

  1. 1. Rischio Data Breach Il Fattore Umano, Criticità Trascurate e Possibili Soluzioni Adriana Franca DigiTree – Country Manager Italy adriana.franca@digitree.it 366 89 48 545
  2. 2. About DigiTree IT Security Company Fondata nel 2016 Innovative Soluzioni di Sicurezza IT Servizi Privacy e GDPR
  3. 3. GDPR: Cosa Cambia Nomina DPO Valutazioni d’Impatto Inasprimento Sanzioni Notifica Data Breach
  4. 4. GDPR: una Straordinaria Opportunità Come Cittadini UE • Maggiore tutela sfera personale Come Aziende • Occasione per rivedere e migliorare la nostra strategia di sicurezza globale
  5. 5. I Tre Pilastri della Cybsersecurity Processi Tecnologie Persone
  6. 6. Data Breach Quando la Notifica NON è Necessaria Articolo 34, punto 3 Non è richiesta la comunicazione all’interessato […] se è soddisfatta una delle seguenti condizioni: Il titolare del trattamento ha implementato misure di protezione tecniche ed organizzative adeguate, e queste misure sono state applicate ai dati personali interessati dal data breach, in particolare quelle misure che rendono i dati personali inintelleggibili a chiunque non sia autorizzato ad accedervi, come la cifratura.”
  7. 7. Problema # 1 La formazione del personale ART, 29 Trattamenti sotto l’autorità del titolare o del responsabile Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
  8. 8. Problema # 1 91% data breach dovuti a spear-phishing Spear-Phishing • Attacco mirato da mittente apparentemente affidabile Persone come ‘anello debole’
  9. 9. • La vecchia scuola non funziona più • Training e phishing simulato combinati • Coinvolgimento di tutti i livelli di un’organizzazione Soluzione # 1 • Non conoscenze teoriche, ma reazioni istintive
  10. 10. Soluzione # 1 La Nuova Scuola di Security Awareness funziona…. Baseline Test • Per stimare la % di utenti phish-prone Formazione Online • Interattiva, autogestita Test di Phishing Simulato • Durante e dopo la campagna di formazione • Frequenza ottimale: 15/30 giorni Reporting di Livello Enterprise • Verifica Efficacia Formazione • Formazione di Rinforzo • Verifica del ROI
  11. 11. Soluzione # 1 …e i risultati lo dimostrano! %Phish-Prone InizialeMedia 27% %Phish-Prone media90gg 13% %Phish-Prone media365gg 2,17%
  12. 12. Problema # 2 La perdita accidentale di dati ART. 32 Sicurezza del Trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […] ART. 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. […] In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
  13. 13. Problema # 2 20M di dispositivi USB non protetti persi/rubati ogni anno nel mondo 2B record compromessi per ‘perdita accidentale’ nel 2017 Dati inviati via email al destinatario scorretto come 2° causa di data breach
  14. 14. SPYRUS HSM - Hardware Root of Trust SPYRUS – Leader in soluzioni di crittografia Soluzione # 2 Crittografia Hardware Automatica AES/XTS 256 bit NcryptNshare • Soluzione HW/SW per cifratura, archiviazione e condivisione sicura di file e partizioni SEMS • Gestione remota dei dispositivi sicuri
  15. 15. Soluzione # 2 SPYRUS RES Disk • Applicazione Proprietaria • Crea e condividi in modo su ogni tipo di media partizioni cifrate • 2FA: password e token SPYRUS Rosetta
  16. 16. Soluzione # 2 SPYRUS RES Disk • Crea e rimuovi partizioni fino a 2 TB • Monta/smonta • Gestisci i conttatti
  17. 17. Soluzione # 2 SPYRUS RES Disk La partizione cifrata è visibile nelle risorse del computer
  18. 18. Soluzione # 2 SPYRUS RES Disk Crea i tuoi file e archiviali nella partizione cifrata
  19. 19. Soluzione # 2 SPYRUS RES Disk La partizione non è più visualizzabile una volta smontata
  20. 20. Soluzione # 1 SPYRUS RES Disk: Gestisci i Contatti • Crea gruppi e sottogruppi • Firma digitalmente e comprimi il file • KeyWitness © Notary Mode • Condividi le partizioni cifrate con le tue liste sicure
  21. 21. Problema # 3 Il Perimetro è Morto! Viva il Perimetro! Articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita Articolo 32 - Sicurezza del trattamento Articolo 33 - Notifica di una violazione dei dati personali all'autorità di controllo Articolo 34 - Comunicazione di una violazione dei dati personali all'interessato
  22. 22. Il Tuo Perimetro sta scomparento. Un Motivo di Riflessione Problema # 3
  23. 23. I tuoi Utenti sono tutti Mobile. Un Altro Motivo di Riflessione Problema # 3
  24. 24. Problema # 3 95% data breach hanno origine a livello endpoint Il numero e lo spettro delle minacce aumentano vertiginosamente Endpoint fissi e mobili target principale cybercrime
  25. 25. 390K nuove istanze di malware al giorno (av-test.org) 1 istanza = 1 signature Data Breach: Alcune Statistiche Problema # 3
  26. 26. Aumento delle Tecniche di Evasione Wrappers Progettati per nascondere il payload o malware in un nuovo file binario Variazioni Progettate per alterare lievemente un codice noto in modo che appaia nuovo/diverso Packers Progettati per bypassare la prevenzione statica (possono includere include anti-VM, sleepers, interactions, caratteristiche anti-debugging) Targeting Progettati per permettere l’esecuzione di codice soltanto su una macchina/configurazione specifica Codice Malevolo Un codice eseguito allo scopo di persistere, sottrarre, spiare o esfiltrare dati Problema # 3
  27. 27. Il Rischio Mobile Soluzione # 3 Commistione dati privati/aziendali Moltiplicazione dei canali di attacco • Social Apps • App di messaggistica (Whatsapp, Telegram, ecc.) • SMS/MMS • Email Personali Ridotte dimensioni dello schermo
  28. 28. Approccio Multi-Livello all’Intero Ciclo di Vita di una Minaccia Soluzione # 3
  29. 29. Problema # 4 CONVERGENZA MEDIATICA Articolo 32 - Sicurezza del trattamento Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]
  30. 30. Anche i Muri… Problema # 4
  31. 31. …hanno le Orecchie Problema # 4
  32. 32. IMSI Catcher Problema # 4 • Fake Cell Tower • Riesce a catturare: • Numero di telefono • Sim • Dati geolocalizzazione • Marca/modello dispositivo • Conversazioni/messaggi (SMS)
  33. 33. Soluzione # 4 Numero di rete fissa configurato su dispositivo mobile Cifratura end-to-end tra utenti EasyPhonia Tutela Privacy nelle comunicazioni vocali e non Comunicazioni Sicure Riduzione dei Costi
  34. 34. Soluzione # 4 Comunicazioni Sicure • Numero di rete fissa cifrato su smartphone, tablet o PC • Protezione military standard per chiamate vocali • Messaggi e chat cifrati • Messaggi vocali via email in caso di mancata risposta • Chiamate vocali gratuite con altri utenti EasyPhonia, ovunque nel mondo
  35. 35. Cybersecurity: una Strategia Vincente Lo spettro delle minacce è cambiato e le tecnologie tradizionali non reggono il ritmo Proteggi TUTTI i canali di comunicazione Cifra il più possibile, sempre e ovunque Costruisci una ‘Cultura della Sicurezza’ Conclusione
  36. 36. Domande? Adriana Franca DigiTree – Country Manager Italy adriana.franca@digitree.it 366 89 48 545
  37. 37. Grazie per l’Attenzione! Adriana Franca DigiTree – Country Manager Italy adriana.franca@digitree.it 366 89 48 545

×