Le informazioni sono una risorsa preziosa per le aziende, sono
fonte di un valore economico e costituiscono un patrimonio
importante che deve essere difeso e, allo stesso tempo, intensamente
utilizzato per generare vantaggi competitivi.
2. Come pianificare gli investimenti tecnologici.
Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed
il conseguente investimento in tecnologia,
è un’opportunità necessità
Risponde ad una esigenza non più procrastinabile: quella di proteggere le
informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta
disponibilità (virtualizzazione, mobile, cloud).
3. Da dove si inizia?
Hardware e Software installati
Dove risiedono i dati?
Come funzionano autorizzazioni ed autenticazioni
Come gestisco la posta elettronica
E’ utilizzato il mobile? Ed è autorizzato?
Che tipo controlli o alerts sono attivati
Come stanno funzionando le misure di Sicurezza?
Come mantengo aggiornato il tutto?
ANALISI
4. In concreto:
Gli investimenti tecnologici servono:
Per gestire un rischio
Per aumentare la disponibilità
dell’informazione
L’analisi è utile per programmare gli investimenti tecnologici
5. Come gestire al meglio le risorse informatiche
aziendali, garantirne il massimo utilizzo ed
un'adeguata protezione.
6. DISPONIBILITÀ vs PROTEZIONE
Gestire in maniera diversa dati diversi
Attivando i giusti alerts e controlli…
Conoscenze dell’azienda, della normativa e della tecnologia.
Il business si sviluppa con la DISPONIBILITA’ DEL DATO
si difende con la PROTEZIONE.
7. Da obbligo ad opportunità
Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle
responsabilità (ACCOUNTABILITY)
Conoscenza/ analisi
Investimento tecnologico MIRATO
Crescita business
Conformità
8. Responsabilità globale del Titolare, denominata «Accountability»
Le nuove disposizioni dettano l’obbligo di Responsabilità del
Titolare di rispettare il presente regolamento e di dimostrare tale
conformità, anche mediante l’adozione di politiche interne e
meccanismi per garantirne tale rispetto»
Da forma a sostanza attraverso l’attuazione del principio della
protezione dei dati «by design»
Valutazione di impatto sulla protezione dei dati
Accountability Principio di
Trasparenza
9. Come rimanere a norma tra obbligo di
sicurezza e necessità di controllo.
10. L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori)
Art. 4. Impianti audiovisivi.
1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza
dell'attività dei lavoratori.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e
produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a
distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In
difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove
occorra, le modalità per l'uso di tali impianti.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo
comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la
commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della
presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli
impianti suddetti.
4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il
datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione
interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni
dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.
11. RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY
«ART. 4. Impianti audiovisivi e altri strumenti di controllo.
Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza
dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e
produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere
installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle
rappresentanze sindacali aziendali.
In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione
ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente
più rappresentative sul piano nazionale.
In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere
installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di
imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro,
del Ministero del lavoro e delle politiche sociali.
La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi
al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità
d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto
legislativo 30 giugno 2003, n. 196».
12. Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende.
Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività
ed efficienza, che deve però essere associato ad una policy aziendale precisa e
condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a
distanza del lavoratore, ma che possa dare più tutela all’azienda.
Nuovo Art. 4 in sintesi…
13.
14.
15.
16.
17. Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.
Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che
riguardano la Normativa ed
i suoi successivi provvedimenti.
Alcuni esempi:
Disaster Recovery Plan
Mobile
Posta elettronica
Cloud
DLP
18. Best practices
Backup o Disaster Recovery
Disaster Recovery Plan
Si intende l’insieme di misure tecnologiche e
organizzative/logistiche atte a ripristinare
sistemi, dati e infrastrutture necessarie a seguito
di emergenze che ne intacchino la regolare
attività.
RTO: Recovery Time Objective RPO: Recovery Point Objective
19. Best practices Disaster Recovery Plan
Passaggi essenziali:
Dove sono i dati
Verifica del backup
Simulazione in caso di disastro
Quale disastro/incidente?
Non solo eventi catastrofici ma anche
perdita volontaria o accidentale,
errori umani…
Per ogni incidente si
registra una reazione
Nota Bene:
Il DRP è una prerogativa obbligatoria e
sarà ancora più importante nel Nuovo
Regolamento Europeo – (concetto Data Breach)
Da OBBLIGO a NECESSITA’
20. Best practices Data Loss Prevention
Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e
prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.
Antivirus?
Anti-malware?
Non sono più sufficienti
Controlli
ed Alerts
Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.
21. Best practices Posta elettronica
Tutela del lavoratore e tutela dell’azienda:
Dalla Normativa:
Confidenzialità: Le informazioni di carattere personale trattate possono
riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata.
In base al richiamato principio di correttezza, l'eventuale trattamento deve essere
ispirato ad un canone di trasparenza
Policy:
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in
modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a
disposizione ritenute corrette e se, in che misura e con quali modalità vengano
effettuati controlli.
22. Best practices Posta elettronica
Le aziende oltre a stabilire Policy di comportamento devono poi cambiare
approccio tecnologico differenziando
Backup da Archiviazione.
23. Quanti dipendenti hanno la posta
elettronica aziendale configurata sul
loro smartphone personale?
Siete sicuri di saperlo precisamente?
Ne AVETE LA CERTEZZA?
Best practices Mobile
Quali informazioni transitano dal Mobile?
Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)
24. Best practices Mobile
(Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende
ne sta supportando ufficialmente l’uso < 20%)
1. Eterogeneità delle caratteristiche tecnologiche
2. Vulnerabilità tecniche
3. Comportamenti non idonei e non consapevolezza
4. BYOD – promiscuità dei dati personali e aziendali
5. Difficoltà di controllo su utilizzo e raccolta dati
(fotocamera)
6. Elevata probabilità di furto o perdita
7. Mancanza di preliminare analisi dei rischi
8. Mancanza di procedure di incident handling
9. Non analisi dei trattamenti effettuati
10. Non applicazione delle misure minime di sicurezza
25. Best practices Cloud
Quadro normativo
Il cloud computing ha diverse implicazioni sotto il profilo giuridico.
Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico.
Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate.
In questo complesso quadro, la valutazione deve tenere conto:
Codice in materia di protezione dei dati personali
Linee guida del Garante e successivi provvedimenti
Regolamento Europeo
nuova ISO/IEC 27018:2014
26. Best practices Cloud
Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato
«Proteggere i dati per non cadere dalle nuvole»
EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL
FORNITORE
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ
DEI DATI
ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI
NECESSITÀ
SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA
NON PERDERE DI VISTA I DATI
INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I
DATI
ATTENZIONE ALLE CLAUSOLE CONTRATTUALI
VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI
ESIGERE ADEGUATE MISURE DI SICUREZZA
FORMARE ADEGUATAMENTE IL PERSONALE
Quadro normativo – Linee guida del Garante
27. Best practices Cloud
In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da
parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento;
fornitore e cliente sono entrambi titolari.
Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di
informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla
allora di due distinte figure con compiti precisi differenti.
E il fornitore di servizio cloud … qual è il suo ruolo?
Importante:
In caso di violazioni commesse dal provider anche il
titolare del trattamento dovrà rispondere di un
eventuale illecito.
Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità
imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e
possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’
compito del titolare valutare coloro che offrano maggiori garanzie circa il
rispetto della normativa sulla protezione dei dati personali.
Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito
all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.