SlideShare a Scribd company logo

TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA

Polaris Informatica srl
Polaris Informatica srl

Le informazioni sono una risorsa preziosa per le aziende, sono fonte di un valore economico e costituiscono un patrimonio importante che deve essere difeso e, allo stesso tempo, intensamente utilizzato per generare vantaggi competitivi.

Law
1 of 31
Download to read offline
Come pianificare gli investimenti tecnologici.
Come pianificare gli investimenti tecnologici. Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed il conseguente investimento in tecnologia, è un’opportunità necessità Risponde ad una esigenza non più procrastinabile: quella di proteggere le informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta disponibilità (virtualizzazione, mobile, cloud).
Da dove si inizia?  Hardware e Software installati  Dove risiedono i dati?  Come funzionano autorizzazioni ed autenticazioni  Come gestisco la posta elettronica  E’ utilizzato il mobile? Ed è autorizzato?  Che tipo controlli o alerts sono attivati  Come stanno funzionando le misure di Sicurezza?  Come mantengo aggiornato il tutto? ANALISI
In concreto: Gli investimenti tecnologici servono:  Per gestire un rischio  Per aumentare la disponibilità dell’informazione L’analisi è utile per programmare gli investimenti tecnologici
Come gestire al meglio le risorse informatiche aziendali, garantirne il massimo utilizzo ed un'adeguata protezione.
DISPONIBILITÀ vs PROTEZIONE  Gestire in maniera diversa dati diversi  Attivando i giusti alerts e controlli… Conoscenze dell’azienda, della normativa e della tecnologia. Il business si sviluppa con la DISPONIBILITA’ DEL DATO si difende con la PROTEZIONE.
Da obbligo ad opportunità Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle responsabilità (ACCOUNTABILITY) Conoscenza/ analisi Investimento tecnologico MIRATO Crescita business Conformità
 Responsabilità globale del Titolare, denominata «Accountability»  Le nuove disposizioni dettano l’obbligo di Responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l’adozione di politiche interne e meccanismi per garantirne tale rispetto»  Da forma a sostanza attraverso l’attuazione del principio della protezione dei dati «by design»  Valutazione di impatto sulla protezione dei dati Accountability Principio di Trasparenza
Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.
L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori) Art. 4. Impianti audiovisivi. 1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. 2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti. 3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli impianti suddetti. 4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.
RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY «ART. 4. Impianti audiovisivi e altri strumenti di controllo. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196».
Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende. Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività ed efficienza, che deve però essere associato ad una policy aziendale precisa e condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a distanza del lavoratore, ma che possa dare più tutela all’azienda. Nuovo Art. 4 in sintesi…
Come rimanere a norma tra obbligo di sicurezza e necessità di controllo. Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che riguardano la Normativa ed i suoi successivi provvedimenti. Alcuni esempi:  Disaster Recovery Plan  Mobile  Posta elettronica  Cloud  DLP
Best practices Backup o Disaster Recovery Disaster Recovery Plan Si intende l’insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati e infrastrutture necessarie a seguito di emergenze che ne intacchino la regolare attività. RTO: Recovery Time Objective RPO: Recovery Point Objective
Best practices Disaster Recovery Plan Passaggi essenziali:  Dove sono i dati  Verifica del backup  Simulazione in caso di disastro Quale disastro/incidente? Non solo eventi catastrofici ma anche perdita volontaria o accidentale, errori umani… Per ogni incidente si registra una reazione Nota Bene: Il DRP è una prerogativa obbligatoria e sarà ancora più importante nel Nuovo Regolamento Europeo – (concetto Data Breach) Da OBBLIGO a NECESSITA’
Best practices Data Loss Prevention Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate. Antivirus? Anti-malware? Non sono più sufficienti Controlli ed Alerts Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.
Best practices Posta elettronica Tutela del lavoratore e tutela dell’azienda: Dalla Normativa: Confidenzialità: Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata. In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza Policy: Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.
Best practices Posta elettronica Le aziende oltre a stabilire Policy di comportamento devono poi cambiare approccio tecnologico differenziando Backup da Archiviazione.
Quanti dipendenti hanno la posta elettronica aziendale configurata sul loro smartphone personale? Siete sicuri di saperlo precisamente? Ne AVETE LA CERTEZZA? Best practices Mobile Quali informazioni transitano dal Mobile? Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)
Best practices Mobile (Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%) 1. Eterogeneità delle caratteristiche tecnologiche 2. Vulnerabilità tecniche 3. Comportamenti non idonei e non consapevolezza 4. BYOD – promiscuità dei dati personali e aziendali 5. Difficoltà di controllo su utilizzo e raccolta dati (fotocamera) 6. Elevata probabilità di furto o perdita 7. Mancanza di preliminare analisi dei rischi 8. Mancanza di procedure di incident handling 9. Non analisi dei trattamenti effettuati 10. Non applicazione delle misure minime di sicurezza
Best practices Cloud Quadro normativo Il cloud computing ha diverse implicazioni sotto il profilo giuridico. Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico. Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate. In questo complesso quadro, la valutazione deve tenere conto:  Codice in materia di protezione dei dati personali  Linee guida del Garante e successivi provvedimenti  Regolamento Europeo  nuova ISO/IEC 27018:2014
Best practices Cloud Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato «Proteggere i dati per non cadere dalle nuvole»  EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE  PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI  ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ  SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA  NON PERDERE DI VISTA I DATI  INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI  ATTENZIONE ALLE CLAUSOLE CONTRATTUALI  VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI  ESIGERE ADEGUATE MISURE DI SICUREZZA  FORMARE ADEGUATAMENTE IL PERSONALE Quadro normativo – Linee guida del Garante
Best practices Cloud  In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento; fornitore e cliente sono entrambi titolari.  Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla allora di due distinte figure con compiti precisi differenti. E il fornitore di servizio cloud … qual è il suo ruolo? Importante: In caso di violazioni commesse dal provider anche il titolare del trattamento dovrà rispondere di un eventuale illecito. Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’ compito del titolare valutare coloro che offrano maggiori garanzie circa il rispetto della normativa sulla protezione dei dati personali. Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.
10 Step Action Plan
Lo fa per voi
Polaris Informatica SRL Via XXIV Maggio n° 28/c Tel 0524 81189 Mail: privacy@polaris.it Daniele Gombi

Recommended

Normativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaNormativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaPolaris informatica
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 

Recommended

Normativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaNormativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaPolaris informatica
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticajamboo
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Brochure lis stampa_finale validata
Brochure lis stampa_finale validataBrochure lis stampa_finale validata
Brochure lis stampa_finale validataMassimo Facchinetti
 
Enterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciEnterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciSimone Bonavita
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity Ubico Digital AI Solutions
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011Council of Europe
 
INDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALIINDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALIGianni Oleodinamica
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Smau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSmau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSMAU
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011Council of Europe
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 
Sicurezza lavoro Ospedali
Sicurezza lavoro OspedaliSicurezza lavoro Ospedali
Sicurezza lavoro Ospedaliportale consulenti
 
Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?STEFANELLI&STEFANELLI LAW FIRM
 
6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper
6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper
6th Semester (Dec-2015; Jan-2016) Civil Engineering Question PaperBGS Institute of Technology, Adichunchanagiri University (ACU)
 
Описание педагогического проекта
Описание педагогического проектаОписание педагогического проекта
Описание педагогического проектаЛюбовь Иванова
 

More Related Content

What's hot

Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Brochure lis stampa_finale validata
Brochure lis stampa_finale validataBrochure lis stampa_finale validata
Brochure lis stampa_finale validataMassimo Facchinetti
 
Enterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciEnterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciSimone Bonavita
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity Ubico Digital AI Solutions
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
INDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALIINDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALIGianni Oleodinamica
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Smau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSmau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSMAU
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 

What's hot (20)

Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
Brochure lis stampa_finale validata
Brochure lis stampa_finale validataBrochure lis stampa_finale validata
Brochure lis stampa_finale validata
 
Enterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciEnterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridici
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
La tua azienda è a rischio? Guida di Enisa sulla Cybersecurity
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
INDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALIINDUSTRIA 4.0: LE APPLICAZIONI REALI
INDUSTRIA 4.0: LE APPLICAZIONI REALI
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Smau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSmau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-Torino
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma
 
Sicurezza lavoro Ospedali
Sicurezza lavoro OspedaliSicurezza lavoro Ospedali
Sicurezza lavoro Ospedali
 
Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?
 

Viewers also liked

Описание педагогического проекта
Описание педагогического проектаОписание педагогического проекта
Описание педагогического проектаЛюбовь Иванова
 
Micropolitica teresa bardiza
Micropolitica teresa bardizaMicropolitica teresa bardiza
Micropolitica teresa bardizaLizz Forero
 
Social media to Social Business
Social media to Social BusinessSocial media to Social Business
Social media to Social BusinessTuan Anh Nguyen
 
Andrew Carige_Resume_Detailed Version 25-02-16
Andrew Carige_Resume_Detailed Version 25-02-16Andrew Carige_Resume_Detailed Version 25-02-16
Andrew Carige_Resume_Detailed Version 25-02-16Carige Andrew
 
HCL_FSLP_SocialMediaPlan_rev_030816
HCL_FSLP_SocialMediaPlan_rev_030816HCL_FSLP_SocialMediaPlan_rev_030816
HCL_FSLP_SocialMediaPlan_rev_030816Hayley Libowitz
 

Viewers also liked (6)

6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper
6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper
6th Semester (Dec-2015; Jan-2016) Civil Engineering Question Paper
 
Описание педагогического проекта
Описание педагогического проектаОписание педагогического проекта
Описание педагогического проекта
 
Micropolitica teresa bardiza
Micropolitica teresa bardizaMicropolitica teresa bardiza
Micropolitica teresa bardiza
 
Social media to Social Business
Social media to Social BusinessSocial media to Social Business
Social media to Social Business
 
Andrew Carige_Resume_Detailed Version 25-02-16
Andrew Carige_Resume_Detailed Version 25-02-16Andrew Carige_Resume_Detailed Version 25-02-16
Andrew Carige_Resume_Detailed Version 25-02-16
 
HCL_FSLP_SocialMediaPlan_rev_030816
HCL_FSLP_SocialMediaPlan_rev_030816HCL_FSLP_SocialMediaPlan_rev_030816
HCL_FSLP_SocialMediaPlan_rev_030816
 

Similar to TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA

Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job ActProve Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job ActStudio Fiorenzi Security & Forensics
 
Convegno controlli efficaci roma
Convegno controlli efficaci romaConvegno controlli efficaci roma
Convegno controlli efficaci romarosannasovani
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaStiip Srl
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
 
Smau Bologna 2016 -Assintel, Paola Generali
Smau Bologna 2016 -Assintel, Paola GeneraliSmau Bologna 2016 -Assintel, Paola Generali
Smau Bologna 2016 -Assintel, Paola GeneraliSMAU
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...festival ICT 2016
 
Lezione Informatica Giuridica Avanzata del 18/3/2011
Lezione Informatica Giuridica Avanzata del 18/3/2011Lezione Informatica Giuridica Avanzata del 18/3/2011
Lezione Informatica Giuridica Avanzata del 18/3/2011Council of Europe
 
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...Planetek Italia Srl
 

Similar to TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA (20)

Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job ActProve Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
 
Convegno controlli efficaci roma
Convegno controlli efficaci romaConvegno controlli efficaci roma
Convegno controlli efficaci roma
 
Prove digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in aziendaProve digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in azienda
 
Safety & security
Safety & securitySafety & security
Safety & security
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
 
SEeS@W
SEeS@WSEeS@W
SEeS@W
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
 
Gombi Privacy Day
Gombi Privacy DayGombi Privacy Day
Gombi Privacy Day
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0
 
RIAP
RIAPRIAP
RIAP
 
Smau Bologna 2016 -Assintel, Paola Generali
Smau Bologna 2016 -Assintel, Paola GeneraliSmau Bologna 2016 -Assintel, Paola Generali
Smau Bologna 2016 -Assintel, Paola Generali
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
 
Lezione Informatica Giuridica Avanzata del 18/3/2011
Lezione Informatica Giuridica Avanzata del 18/3/2011Lezione Informatica Giuridica Avanzata del 18/3/2011
Lezione Informatica Giuridica Avanzata del 18/3/2011
 
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...
GWT 2014: Energy Conference - 06 Le tecnologie geospaziali al servizio dello ...
 

TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA

  • 2. Come pianificare gli investimenti tecnologici. Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed il conseguente investimento in tecnologia, è un’opportunità necessità Risponde ad una esigenza non più procrastinabile: quella di proteggere le informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta disponibilità (virtualizzazione, mobile, cloud).
  • 3. Da dove si inizia?  Hardware e Software installati  Dove risiedono i dati?  Come funzionano autorizzazioni ed autenticazioni  Come gestisco la posta elettronica  E’ utilizzato il mobile? Ed è autorizzato?  Che tipo controlli o alerts sono attivati  Come stanno funzionando le misure di Sicurezza?  Come mantengo aggiornato il tutto? ANALISI
  • 4. In concreto: Gli investimenti tecnologici servono:  Per gestire un rischio  Per aumentare la disponibilità dell’informazione L’analisi è utile per programmare gli investimenti tecnologici
  • 5. Come gestire al meglio le risorse informatiche aziendali, garantirne il massimo utilizzo ed un'adeguata protezione.
  • 6. DISPONIBILITÀ vs PROTEZIONE  Gestire in maniera diversa dati diversi  Attivando i giusti alerts e controlli… Conoscenze dell’azienda, della normativa e della tecnologia. Il business si sviluppa con la DISPONIBILITA’ DEL DATO si difende con la PROTEZIONE.
  • 7. Da obbligo ad opportunità Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle responsabilità (ACCOUNTABILITY) Conoscenza/ analisi Investimento tecnologico MIRATO Crescita business Conformità
  • 8.  Responsabilità globale del Titolare, denominata «Accountability»  Le nuove disposizioni dettano l’obbligo di Responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l’adozione di politiche interne e meccanismi per garantirne tale rispetto»  Da forma a sostanza attraverso l’attuazione del principio della protezione dei dati «by design»  Valutazione di impatto sulla protezione dei dati Accountability Principio di Trasparenza
  • 9. Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.
  • 10. L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori) Art. 4. Impianti audiovisivi. 1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. 2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti. 3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli impianti suddetti. 4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.
  • 11. RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY «ART. 4. Impianti audiovisivi e altri strumenti di controllo. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196».
  • 12. Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende. Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività ed efficienza, che deve però essere associato ad una policy aziendale precisa e condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a distanza del lavoratore, ma che possa dare più tutela all’azienda. Nuovo Art. 4 in sintesi…
  • 13.
  • 14.
  • 15.
  • 16.
  • 17. Come rimanere a norma tra obbligo di sicurezza e necessità di controllo. Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che riguardano la Normativa ed i suoi successivi provvedimenti. Alcuni esempi:  Disaster Recovery Plan  Mobile  Posta elettronica  Cloud  DLP
  • 18. Best practices Backup o Disaster Recovery Disaster Recovery Plan Si intende l’insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati e infrastrutture necessarie a seguito di emergenze che ne intacchino la regolare attività. RTO: Recovery Time Objective RPO: Recovery Point Objective
  • 19. Best practices Disaster Recovery Plan Passaggi essenziali:  Dove sono i dati  Verifica del backup  Simulazione in caso di disastro Quale disastro/incidente? Non solo eventi catastrofici ma anche perdita volontaria o accidentale, errori umani… Per ogni incidente si registra una reazione Nota Bene: Il DRP è una prerogativa obbligatoria e sarà ancora più importante nel Nuovo Regolamento Europeo – (concetto Data Breach) Da OBBLIGO a NECESSITA’
  • 20. Best practices Data Loss Prevention Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate. Antivirus? Anti-malware? Non sono più sufficienti Controlli ed Alerts Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.
  • 21. Best practices Posta elettronica Tutela del lavoratore e tutela dell’azienda: Dalla Normativa: Confidenzialità: Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata. In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza Policy: Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.
  • 22. Best practices Posta elettronica Le aziende oltre a stabilire Policy di comportamento devono poi cambiare approccio tecnologico differenziando Backup da Archiviazione.
  • 23. Quanti dipendenti hanno la posta elettronica aziendale configurata sul loro smartphone personale? Siete sicuri di saperlo precisamente? Ne AVETE LA CERTEZZA? Best practices Mobile Quali informazioni transitano dal Mobile? Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)
  • 24. Best practices Mobile (Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%) 1. Eterogeneità delle caratteristiche tecnologiche 2. Vulnerabilità tecniche 3. Comportamenti non idonei e non consapevolezza 4. BYOD – promiscuità dei dati personali e aziendali 5. Difficoltà di controllo su utilizzo e raccolta dati (fotocamera) 6. Elevata probabilità di furto o perdita 7. Mancanza di preliminare analisi dei rischi 8. Mancanza di procedure di incident handling 9. Non analisi dei trattamenti effettuati 10. Non applicazione delle misure minime di sicurezza
  • 25. Best practices Cloud Quadro normativo Il cloud computing ha diverse implicazioni sotto il profilo giuridico. Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico. Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate. In questo complesso quadro, la valutazione deve tenere conto:  Codice in materia di protezione dei dati personali  Linee guida del Garante e successivi provvedimenti  Regolamento Europeo  nuova ISO/IEC 27018:2014
  • 26. Best practices Cloud Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato «Proteggere i dati per non cadere dalle nuvole»  EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE  PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI  ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ  SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA  NON PERDERE DI VISTA I DATI  INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI  ATTENZIONE ALLE CLAUSOLE CONTRATTUALI  VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI  ESIGERE ADEGUATE MISURE DI SICUREZZA  FORMARE ADEGUATAMENTE IL PERSONALE Quadro normativo – Linee guida del Garante
  • 27. Best practices Cloud  In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento; fornitore e cliente sono entrambi titolari.  Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla allora di due distinte figure con compiti precisi differenti. E il fornitore di servizio cloud … qual è il suo ruolo? Importante: In caso di violazioni commesse dal provider anche il titolare del trattamento dovrà rispondere di un eventuale illecito. Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’ compito del titolare valutare coloro che offrano maggiori garanzie circa il rispetto della normativa sulla protezione dei dati personali. Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.
  • 29.
  • 30. Lo fa per voi
  • 31. Polaris Informatica SRL Via XXIV Maggio n° 28/c Tel 0524 81189 Mail: privacy@polaris.it Daniele Gombi