Con la definitiva entrata in vigore del GDPR, non solo le sanzioni per la non conformità si sono inasprite, ma vi è l’obbligo di notifica del cosiddetto data breach all’Autorità Garante entro le 72 ore dalla scoperta. Una violazione dei dati personali comporta anche costi “secondari” – quali le spese legali, la perdita di clienti, il danno reputazionale conseguente ad una cattiva pubblicità – che devono essere presi in considerazione ancor più seriamente in quanto potrebbero letteralmente paralizzare l’attività di un’azienda. Ma guardando il bicchiere con gli occhi dell’ottimista, possiamo renderci conto che la nuova normativa sulla data protection offre altresì una straordinaria opportunità per rafforzare la sicurezza aziendale nel suo complesso e proteggere in modo ancor più efficace l’intero asset di una compagnia.
Una corretta ed adeguata strategia di cybersecurity si basa su tre pilastri fondamentali: processi, tecnologie e persone. Ma troppo spesso le aziende si focalizzano principalmente sui primi due – i processi e le tecnologie – e trascurano il terzo – le persone.
Nel corso del webinar abbiamo parlato di quanto sia invece importante trovare il giusto equilibro tra questi tre elementi, evidenziando l’importanza del fattore umano se considerato come estrema linea difensiva per la sicurezza e per la protezione dei dati personali. E vedremo come alcune semplici misure preventive possano rendere la tua strategia di sicurezza estremamente robusta e a prova di data breach… e di GDPR.
1. Rischio Data Breach
Il Fattore Umano, Criticità Trascurate e Possibili Soluzioni
Adriana Franca
DigiTree – Country Manager Italy
adriana.franca@digitree.it
366 89 48 545
2. Chi siamo?
• IT Security Company
• Fondata nel 2016
• Soluzioni di Sicurezza innovative
• Collaborazione con professionisti
esperti
• Servizi professionali su GDPR
4. Da dove veniamo?
Dove stiamo andando?
Che cosa c’è per cena?
Woody Allen
e soprattutto…
Rischio Data Breach
5. GDPR: Cosa Cambia
• Nomina DPO
• Valutazione d’Impatto
• Inasprimento Sanzioni
• Notifica Data Breach
6. • Come Cittadini UE →
Migliore tutela della nostra privacy
• Come Organizzazioni →
Occasione per rivedere e migliorare la
nostra strategia di sicurezza globale
GDPR: una Straordinaria Opportunità
7. I Tre Pilastri della
Cybsersecurity
•Processi
•Tecnologie
•Persone
8. Data Breach
Quando la Notifica NON è Necessaria
Articolo 34, punto 3
Non è richiesta la comunicazione all’interessato […] se è soddisfatta una delle
seguenti condizioni:
Il titolare del trattamento ha implementato misure di protezione tecniche ed
organizzative adeguate, e queste misure sono state applicate ai dati personali
interessati dal data breach, in particolare quelle misure che rendono i dati
personali inintelleggibili a chiunque non sia autorizzato ad accedervi, come la
cifratura.”
9. • 20M di dispositivi USB persi/rubati ogni anno nel
mondo
• 2 miliardi di record compromessi per ‘perdita
accidentale nel primo semestre 2017
• Dati inviati via email al destinatario scorretto
come seconda causa di data breach
Vulnerabilità # 1
Perdite Accidentali
10. SPYRUS Hardware Root of Trust
• Crittografia Hardware Automatica AES/XTS 256 bit
• NcryptNshare: soluzione HW/SW per cifratura,
archiviazione e condivisione di file e partizioni
• SEMS: gestione remota di dispositivi sicuri
Soluzione # 1
17. Ingegneria Sociale
• 91% dei data breach che hanno successo partono da
un’email di spear-phishing
(Fonte: Trend Micro)
Vulnerabilità # 2
18. • La vecchia scuola non funziona più
• Training e phishing simulato combinati
• Coinvolgimento di tutti i livelli di
un’organizzazione
Soluzione # 2
• Non conoscenze teoriche, ma reazioni istintive
19. • Baseline Test
• Formazione interattiva ed autogestita
• Frequenti attacchi di phishing simulato
• Reporting per efficacia, ROI e compliance
Soluzione # 2
Funziona…
23. I tuoi Utenti sono tutti Mobile.
Un Altro Motivo di Riflessione
24. • 390.000 nuove istanze
di malware al giorno
(av-test.org)
• 1 istanza = 1 signature
Data Breach: Alcune Statistiche
Vulnerabilità # 3
25. Aumento delle Tecniche di Evasione
Wrappers
Progettati per nascondere il payload o malware in un
nuovo file binario
Variazioni
Progettate per alterare lievemente un codice noto in
modo che appaia nuovo/diverso
Packers
Progettati per bypassare la prevenzione statica
(possono includere include anti-VM, sleepers,
interactions, caratteristiche anti-debugging)
Targeting
Progettati per permettere l’esecuzione di codice
soltanto su una macchina/configurazione specifica
Codice Malevolo
Un codice eseguito allo scopo di persistere, sottrarre,
spiare o esfiltrare dati
Vulnerabilità # 3
30. Il Rischio Mobile
Soluzione # 3
• Moltiplicazione dei canali di attacco
• Ridotte dimensioni dello schermo
➢ Social apps
➢ App di Messaggistica (Whatsapp, Telegram)
➢ SMS/MMS
➢ Emails personali
31. MOBILE
THREATS
SOFTWARE VULNERABILITIES
BEHAVIOR & CONFIGURATIONS
COMPONENTSOFRISK
DEVICE NETWORK WEB & CONTENTAPPS
- Spyware & Trojans
- App non aggiornate
- Apps che violano norme
o security policy
- Privilege escalation
- SO non aggiornati
- Nessuna password o PIN
- Fake cell towers
- Network hardware
vulnerabilities
- Collegarsi in automatico
a reti non cifrate
- Phishing
- Malformed content that
triggers app
vulnerabilities
- Aprire allegati malevoli
RISK MATRIX
Dispositivi Mobili: La matrice dei Rischi
Soluzione # 3
33. Cybersecurity: Conclusioni
• Cifra il più possibile, sempre e ovunque
• Costruisci una ‘Cultura della Sicurezza’
Considerando 83: “Per
mantenere la sicurezza e
prevenire trattamenti in
violazione al presente
regolamento, il titolare o il
responsabile del trattamento
dovrebbe valutare i rischi
inerenti al trattaemento ed
implementare misure per
mitigare tali rischi, quali la
cifratura.”
• Lo spettro delle minacce è cambiato e
le tecnologie tradizionali non reggono
il ritmo