Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR Day - Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento

183 views

Published on

L’articolo 32 del GDPR ci fornisce alcune indicazioni su come devono essere protetti i dati e gli strumenti per il trattamento dei dati, ossia le applicazioni. O meglio dice che dobbiamo essere in grado di assicurare la disponibilità del dato e dei sistemi per il trattamento. Tuttavia non fornisce una checklist su come raggiungere questo risultato. Inoltre le aziende non possono sacrificare la propria produttività e il proprio budget sull’altare del GDPR. Una guida ragionata alla business continuity strizzando l’occhio alla compliance GDPR.

Relatore: Claudio Panerai, CTO di Achab

Published in: Technology
  • Be the first to comment

  • Be the first to like this

GDPR Day - Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento

  1. 1. BACKUP & BUSINESS CONTINUITY A PROVA DI GDPR Claudio Panerai claudio.panerai@achab.it
  2. 2. IL GDPR VISTO DAI VENDOR IT…
  3. 3. IL GDPR VISTO DAI VENDOR IT…
  4. 4. IL GDPR VISTO DALLE AZIENDE?
  5. 5. IL GDPR VISTO DALLE AZIENDE?
  6. 6. IL GDPR VISTO DALLE AZIENDE?
  7. 7. IL GDPR VISTO DALLE AZIENDE? • Opportunità per fare della buona IT
  8. 8. IL GDPR VISTO DALLE AZIENDE? • Opportunità per fare della buona IT • opportunità per lavorare bene • nell’interesse del business • nell’interesse delle regole
  9. 9. QUELLO CHE CONTA PER LE AZIENDE...
  10. 10. QUELLO CHE CONTA PER LE AZIENDE... • La continuità operativa!
  11. 11. QUELLO CHE CONTA PER LE AZIENDE... • La continuità operativa! • O Business Continuity
  12. 12. PERCHÈ È COSI?
  13. 13. PERCHÈ È COSI? Le aziende trattano informazioni e comunicano con terzi
  14. 14. PERCHÈ È COSI? Le aziende trattano informazioni e comunicano con terzi • informazioni = dati = file • comunicazione = voip, email, chat, ecc
  15. 15. PERCHÈ È COSI? Le aziende trattano informazioni e comunicano con terzi • informazioni = dati = file • comunicazione = voip, email, chat, ecc il lavoro di (quasi) tutti è basato sull’IT (ICT).
  16. 16. OGNUNO LA SUA BUSINESS CONTINUITY
  17. 17. A OGNUNO LA SUA BUSINESS CONTINUITY
  18. 18. A OGNUNO LA SUA BUSINESS CONTINUITY
  19. 19. A OGNUNO LA SUA BUSINESS CONTINUITY
  20. 20. Ma che cosa può interrompere il funzionamento del sistema IT?
  21. 21. Ma che cosa può interrompere il funzionamento del sistema IT? Quali sono i disastri?
  22. 22. ALLAGAMENTI
  23. 23. ALLAGAMENTI Genova, 10/10/2014
  24. 24. INCENDI
  25. 25. INCENDI Milano, 19/11/2014
  26. 26. TERREMOTI
  27. 27. TERREMOTI Amatrice, 24/08/2016 18/01/2017
  28. 28. ALTRE CAUSE, BEN PIÙ FREQUENTI
  29. 29. ALTRE CAUSE, BEN PIÙ FREQUENTI • Furti • Guasti hardware (disco, alimentatore) • Problemi software (aggiornamenti, corruzione di file) • Cancellazione di file (colposa o dolosa)
  30. 30. ALTRE CAUSE, BEN PIÙ FREQUENTI • Furti • Guasti hardware (disco, alimentatore) • Problemi software (aggiornamenti, corruzione di file) • Cancellazione di file (colposa o dolosa) • Virus (ransomware).
  31. 31. ANATOMIA DI UN DISASTRO Tempo
  32. 32. ANATOMIA DI UN DISASTRO Tempo
  33. 33. ANATOMIA DI UN DISASTRO Tempo
  34. 34. ANATOMIA DI UN DISASTRO Tempo
  35. 35. ANATOMIA DI UN DISASTRO Tempo
  36. 36. ANATOMIA DI UN DISASTRO Tempo Indisponibilità
  37. 37. ANATOMIA DI UN DISASTRO Tempo Dati persi Indisponibilità
  38. 38. DISASTRO, QUALI SONO I DANNI
  39. 39. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente
  40. 40. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto
  41. 41. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto • Ripristino sistemi: riscostruire infrastruttura
  42. 42. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto • Ripristino sistemi: riscostruire infrastruttura • Perdita integrità: ricostruire dati persi
  43. 43. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto • Ripristino sistemi: riscostruire infrastruttura • Perdita integrità: ricostruire dati persi • No accesso ai dati e sistemi di trattamento…
  44. 44. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto • Ripristino sistemi: riscostruire infrastruttura • Perdita integrità: ricostruire dati persi • No accesso ai dati e sistemi di trattamento… • Perdita immagine: credibilità
  45. 45. DISASTRO, QUALI SONO I DANNI • Improduttività: struttura pagata per niente • Indisponibilità: no valore aggiunto • Ripristino sistemi: riscostruire infrastruttura • Perdita integrità: ricostruire dati persi • No accesso ai dati e sistemi di trattamento… • Perdita immagine: credibilità • www.achab.it/costoincidenteIT.
  46. 46. Come si ottiene la business continuity?
  47. 47. BUSINESS CONTINUITY SECONDO DATTO
  48. 48. BUSINESS CONTINUITY SECONDO DATTO
  49. 49. BUSINESS CONTINUITY SECONDO DATTO
  50. 50. BUSINESS CONTINUITY SECONDO DATTO
  51. 51. BUSINESS CONTINUITY SECONDO DATTO
  52. 52. BUSINESS CONTINUITY SECONDO DATTO  Ripartenza istantanea, facile e veloce in locale  riparto da dove ero rimasto  downtime minimo.
  53. 53. E’ sufficiente una protezione locale?
  54. 54. BUSINESS CONTINUITY SECONDO DATTO
  55. 55. BUSINESS CONTINUITY SECONDO DATTO
  56. 56. BUSINESS CONTINUITY SECONDO DATTO
  57. 57. BUSINESS CONTINUITY SECONDO DATTO
  58. 58. BUSINESS CONTINUITY SECONDO DATTO  Ripartenza istantanea, facile e veloce in locale
  59. 59. BUSINESS CONTINUITY SECONDO DATTO  Ripartenza istantanea, facile e veloce in locale
  60. 60. BUSINESS CONTINUITY SECONDO DATTO  Ripartenza istantanea, facile e veloce in locale  Riparenza istant. da remoto  Protezione mista: - locale (on premise) - remota (cloud)
  61. 61. LO SO CHE AVETE IN TESTA TANTE DOMANDE
  62. 62. LO SO CHE AVETE IN TESTA TANTE DOMANDE come fa a fare immagini ogni cinque minuti?, ha la deduplica? quanto pesa sulla rete?, quanto pesa sul server?,quanta banda ci vuole?, ottimizzazione wan?, quanti snapshot può tenere?, quanto spazio ho nel cloud?, dove sta il cloud?, se un dispositivo non ha più spazio sufficiente?, cosa devo pagare di extra?, mi servono gli ip pubblici?, ma come torno indietro sull’originale?, come faccio a collegarmi in vpn se ho lì il mio applicativo?, funziona coma macchine fisiche?, funziona su hyper-v?, funziona su vmware?, posso regolare la banda?, posso replicare solo di notte?, garantisce la consistenza di SQL server?
  63. 63. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)
  64. 64. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)  Protezione basata su immagini, anche ogni 5 minuti
  65. 65. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)  Protezione basata su immagini, anche ogni 5 minuti  Garanzia di ripartenza (anche applicativa)
  66. 66. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)  Protezione basata su immagini, anche ogni 5 minuti  Garanzia di ripartenza (anche applicativa)  Virtualizzazione istantanea in locale (anche se non hai cluster o muletto)
  67. 67. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)  Protezione basata su immagini, anche ogni 5 minuti  Garanzia di ripartenza (anche applicativa)  Virtualizzazione istantanea in locale (anche se non hai cluster o muletto)  Replica + accensione in remoto dei sistemi (anche se non possiedi un datacenter tuo)
  68. 68. PERCHÈ DATTO È DIVERSO (ED È MEGLIO)  Protezione basata su immagini, anche ogni 5 minuti  Garanzia di ripartenza (anche applicativa)  Virtualizzazione istantanea in locale (anche se non hai cluster o muletto)  Replica + accensione in remoto dei sistemi (anche se non possiedi un datacenter tuo)  Console di gestione (locale e in the cloud).
  69. 69. ART. 32 GDPR
  70. 70. MA COSA DEVO FARE ?
  71. 71. MA COSA DEVO FARE ? a) pseudonomizzazione e cifratura
  72. 72. MA COSA DEVO FARE ? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento
  73. 73. MA COSA DEVO FARE ? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati
  74. 74. MA COSA DEVO FARE ? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure
  75. 75. ART. 32: GDPR e DATTO? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure
  76. 76. ART. 32: GDPR e DATTO? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure a) posso cifrare i backup
  77. 77. ART. 32: GDPR e DATTO? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure a) posso cifrare i backup b) sistema integrato per ripartenze, resilienza assicurata dal cloud
  78. 78. ART. 32: GDPR e DATTO? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure a) posso cifrare i backup b) sistema integrato per ripartenze, resilienza assicurata dal cloud c) ripartenza istantanea in locale e in cloud
  79. 79. ART. 32: GDPR e DATTO? a) pseudonomizzazione e cifratura b) assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento c) assicurare ripristino tempestivo disponibilità e accesso ai dati d) testare, verificare e valutare regolarmente l’efficacia delle misure a) posso cifrare i backup b) sistema integrato per ripartenze, resilienza assicurata dal cloud c) ripartenza istantanea in locale e in cloud d) test e verifica automatica della ripartenza e accessibilità dei dati
  80. 80. ART. 29, 33, 34: GDPR E DATTO
  81. 81. ART. 29, 33, 34: GDPR E DATTO • Data breach: quando la notifica agli interessati?
  82. 82. ART. 29, 33, 34: GDPR E DATTO • Data breach: quando la notifica agli interessati? • se ci sono rischi per i diritti e le libertà degli interessati.
  83. 83. ART. 29, 33, 34: GDPR E DATTO • Data breach: quando la notifica agli interessati? • se ci sono rischi per i diritti e le libertà degli interessati. • se i backup sono cifrati • non c’è nessun obbligo di notifica (dobbiamo continuare a garantire ciò che chiede Art. 32)
  84. 84. CONCLUDENDO
  85. 85. CONCLUDENDO • Sistema di BC chiavi in mano • ottimo per il business
  86. 86. CONCLUDENDO • Sistema di BC chiavi in mano • ottimo per il business • E’ l’impersonificazione dell’art. 32 • ottimo per il GDPR ;-)
  87. 87. CONCLUDENDO • Sistema di BC chiavi in mano • ottimo per il business • E’ l’impersonificazione dell’art. 32 • ottimo per il GDPR ;-) • No scaricabarile.
  88. 88. Claudio Panerai claudio.panerai@achab.it GRAZIE

×