[Ord ing] data protection by design v1.6

ING. ANDREA PRAITANO
PRINCIPI DI PRIVACY BY DESIGN E BY DEFAULT
L’IMPATTO SULLA PROGETTAZIONE E L’ESERCIZIO DEI SISTEMI
INFORMATIVI
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO

ING. ANDREA PRAITANOING. ANDREA PRAITANO
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 2
Lieutenant on
leave
Member of the
Board
ANDREA PRAITANO
MA ANCHE …..

AGENDA
pag. 3

pag. 4

pag. 5
Alcuni concetti introduttivi

6
IL REGOLAMENTO (UE) 2016/679 NON PARLA DI “PRIVACY” ….PARLA DI
“PROTEZIONE DEI DATI”

QUALCHE DEFINIZIONE (1/3)
Termine Definizione
Protezione dei
dati
È quella disciplina dedita alla protezione dei dati personali, dati sensibili e dati giudiziari in termini di
disponibilità, autenticità, integrità e riservatezza dei dati personali conservati o trasmessi e la sicurezza
dei relativi servizi offerti
Privacy La privacy termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla riservatezza
della propria vita privata
[Fonte: Wikipedia]
(privacy non può essere considerato sinonimo della protezione dei dati come richiesto dalla normativa)
Sicurezza delle
informazioni
2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità
dell’informazione
Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-repudiation
(2.54), and reliability (2.62) can also be involved.
[Fonte ISO/IEC 27000:2014]
Cybersecurity Preservazione di riservatezza, integrità e disponibilità dell’informazione nel Cyberspace
[Fonte ISO/IEC 27032:2012]
Cyberspace: “the complex environment resulting from the interaction of people, software and services on the Internet by means of
technology devices and networks connected to it, which does not exist in any physical form”
………..

http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296

Lesson
#1
La protezione dei dati (comunemente nota anche come privacy), la sicurezza delle informazioni, la
sicurezza informatica e la cyber security non sono cose diverse fra di loro ma parte di una stessa
«famiglia», quindi possono essere affrontate insieme o, comunque, con le stesse tecniche e
conoscenze.

CITAZIONE DA BRUCE SCHNEIER
(SECURITY GURU)
pag. 11
”La sicurezza richiede una particolare mentalità. I professionisti
della sicurezza - almeno quelli buoni - vedono il mondo in modo
diverso. Non possono entrare in un negozio senza accorgersi di
come si potrebbe rubare. Non possono utilizzare un computer senza
chiedersi le vulnerabilità di sicurezza. Non possono farne a meno!„
The Security Mindset
Posted on March 25, 2008 at 5:27 AM
www.schneier.com

Lesson
#2
Ognuno di noi vede le cose attraverso degli occhiali che filtrano in base alla propria esperienza, se
si è un legale si vedranno più probabilmente mancanze normative o «appigli per fare causa o
difendersi», se si è un malintenzionato si vedranno le vulnerabilità e come si possono aggirare. Per
difendersi bisogna mettersi nei panni dell’attaccante e cercare di prevenirlo, se possibile.

FAMIGLIA ISO/IEC 270XX
pag. 13

OWASP & SANS 20 & NIST
pag. 14

LINEE GUIDA AGID SVILUPPO SICURO E DPBD
pag. 15

Lesson
#3
Non inventiamo l’acqua calda, esiste una vasta conoscenza di buone pratiche sulla sicurezza delle
informazioni, usiamola e prendiamo spunto per la protezione dei dati!

17
Nuovo quadro normativo Europeo

pag. 18
Evoluzione della normativa

DIRETTIVA 95/46/EC
La Direttiva Europea da cui deriva la normativa privacy attuale è «abbastanza» datata.
Google non c’era (è nato nel 1997)
Yahoo, era poco più che in fasce (è nato nel 1994)
Lo «smartphone» di allora era il Nokia 9000 Communicator che fu
presentato al CeBIT del 1996
L’Internet «veloce» era a 56k
Facebook non era neanche in fasce (lanciato il 4 febbraio 2004)
…e questo era il mio cellulare
di allora
Vi ricordate il 1995?

EVOLUZIONE DELLA NORMATIVA
https://iapp.org/resources/article/a-brief-history-
of-the-general-data-protection-regulation/

Lesson
#4
Il mondo evolve rapidamente, le leggi hanno cicli di aggiornamento molto lenti, anche gli standard
(ad es. ISO) hanno cicli non velocissimi (solitamente 5 anni). Le organizzazioni devono adeguarsi
rapidamente alle nuove minacce. Devono essere messi in piedi sistemi di verifica e miglioramento
continuo quelli che le norme ISO chiamano i sistemi di gestione e il DLgs 196 imponeva come ciclo
annuale.

pag. 22
Il Regolamento (UE) 2016/679 (GDPR)

Carta dei diritti fondamentali dell’UE
Articolo 1: Dignità umana
Articolo 2: Diritto alla vita
Articolo 3: Diritto all’integrità della persona
Articolo 4: Proibizione della tortura e delle pene o trattamenti
inumani o degradanti
Articolo 5: Proibizione della schiavitù e del lavoro forzato
Articolo 6: Diritto alla libertà e alla sicurezza
Articolo 7: Rispetto della vita privata e della vita familiare
DA DOVE NASCE IL DIRITTO ALLA PROTEZIONE DEI DATI NELLA UE?
pag. 23

CARTA DEI DIRITTI FONDAMENTALI DELL’UE

Regolamento (UE) 2016/679 - General Data Protection Regulation – GDPR
(alcune parti sono da recepire con leggi nazionali)
Direttiva (UE) 2016/680 – Direttiva generale dati giudiziari (ancora da recepire)
Draft del Regolamento ePrivacy (sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per la tutela della vita privata
nel settore delle comunicazioni elettroniche - recepita dal D.Lgs. 196:2003)
Provvedimenti del Garante della protezione dei Dati personali
Complessivamente la
normativa non è, allo
stato attuale, del
tutto chiara.
PROTEZIONE DEI DATI PERSONALI/PRIVACY
Articolo 8 Carta dei diritti fondamentali dell’UE

Art. 7
Art. 8
FRAMEWORK EUROPEO SULLA PRIVACY: NON SOLO GDPR
Articolo 8 Carta dei diritti
fondamentali dell’UE
Regolamento (UE)
2016/679 - GDPR
(sostituisce la Direttiva 95/46/EC)
Direttiva (UE) 2016/680
Direttiva generale dati giudiziari
(recepita dallo schema di decreto del
21/03/2018))
Proposta Regolamento
ePrivacy
(sostituisce la Direttiva 2002/58/CE –
Direttiva generale per il trattamento
dei dati personali e per la tutela
della vita privata nel settore delle
comunicazioni elettroniche - recepita
dallo schema di decreto del
21/03/2018
Guideline Working Party
29 e Garanti Privacy
……….
Opinione
personale!

Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy
italiano è il recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte
del parlamento Europeo. Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa
italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) È ABROGATO A DECORRERE DAL
25/05/2018
Schema decreto approvato dal PCDM in data 21/03/2018
Art. 101 Abrogazioni
1. A decorrere dall’entrata in vigore del presente decreto, il Codice in materia di protezione
dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 è abrogato. A
decorrere da tale data sono altresì abrogati i commi 1021 e 1024 dell’articolo 1 della legge
27 dicembre 2017, n. 205
COSA SUCCEDE ALLA NORMATIVA ATTUALE?

LA NORMATIVE NON È UGUALE IN TUTTA EUROPA
pag. 28
Il framework della protezione dei dati europeo si compone della carta dei diritti dell’Unione uguale per
tutti, di un regolamento uguale per tutti (ma con punti aperti), e due direttive recepite dagli stati
dell’Unione. Quindi di fatto differenze fra le diverse nazioni ci sono anche se molto meno di prima.
Da capire cosa succederà anche con le evoluzione derivanti dai diritti common law e civil law.
Compito dell’European Data Protection Board è quello di omogeneizzare la normativa al livello
europeo.

Lesson
#5
Il nuovo framework della protezione dei dati personali è articolato e complesso. Ci sono aspetti
che si sovrappongono e che potrebbero essere in contrasto fra di loro. La normativa per la
protezione dei dati non è uguale in tutta Europa ma possiamo dire che ha un battente comune.

I PILASTRI DEL GDPR
Dataprotectionbydesign
(GDPRArt.25)
Dataprotectionbydefault
(GDPRArt.25)
Data Protection for European’s citizens
DataProtectionOfficer
(GDPRArt.37÷39)
DataProtectionImpactAssessment
(GDPRArt.35)
DataBreaches
(GDPRArt.33and34)
Territorialscope
(GDPRArt.3)
Accountability
GDPRArt.5)
Datasubjects’rights
(GDPRArt.12÷21)
EuropeanDataProtectionBoard
(GDPRArt.68)

Lesson
#6
Il GDPR ha dei principi basilari importanti e che potrebbe essere complesso implementare
all’interno delle organizzazioni.

GDPR
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione e
protezione per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei
rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.
ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
pag. 32

1. Gli Stati membri dispongono che il titolare del trattamento, tenuto conto dello stato
dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del
contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità
diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al
momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, metta
in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad
attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a
integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti della
presente direttiva e tutelare i diritti degli interessati.
ARTICOLO 20: DATA PROTECTION BY DESIGN AND BY
DEFAULT
pag. 33
Direttiva
680/2016

23) I principi della protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita sono disciplinati all’articolo 25 del regolamento (UE) 2016/679. Attualmente le
impostazioni predefinite per i marcatori nella maggior parte dei navigatori sono del tipo
“accetta tutti i marcatori”. I fornitori di programmi che consentono il recupero e la
presentazione di informazioni presenti in rete dovrebbero quindi essere obbligati a configurare
il programma affinché esso preveda l’opzione volta a impedire che terzi conservino
informazioni sull’apparecchiatura terminale, spesso presentata come “rifiuta tutti i marcatori di
terzi”. Gli utenti finali dovrebbero avere a disposizione un insieme di opzioni di impostazione
della vita privata comprese fra la più restrittiva (per es. “non accettare mai marcatori”) e la
meno restrittiva (per es. “accetta sempre i marcatori”) e una posizione intermedia (per es.
“rifiuta i marcatori di terzi” o “accetta solo i marcatori di prima parte”). Tali impostazioni della
vita privata dovrebbero essere presentate in modo facilmente visibile e intelligibile.
CONSIDERANDO 23: BOZZA REGOLAMENTO EPRIVACY
pag. 34
ePrivacy

Lesson
#7
Il principio del Data Protection by Design del GDPR può essere visto come il prevedere la sicurezza
come parte integrante dei sistemi e non solo come un add-on che, gioco forza, sarebbe meno
efficace. È poi un approccio ciclico che parte dalla progettazione ma continua per tutta la vita del
sistema. Gli attaccanti utilizzano schemi mentali di attacco completamente differenti da chi
gestisce il sistema stesso.

pag. 36

1. Proactive not reactive; Preventative not remedial
2. Privacy as the default setting
3. Privacy embedded into design
4. Full functionality – positive-sum, not zero-sum
5. End-to-end security – full lifecycle protection
6. Visibility and transparency – keep it open
7. Respect for user privacy – keep it user-centric
http://www.privacybydesign.ca/
Information and Privacy Commissioner of Ontario, Canada
SEVEN PRINCIPLES OF PRIVACY BY DESIGN

1. Proactive: approccio proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non
attendere che essi si verifichino per proporre rimedi alle soluzioni.
2. By Default: salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; nessuna azione è
richiesta all’interessato per proteggere la propria privacy.
3. Embedded: è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un
quid pluris.
4. Positive – Sum: mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo
“win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”.
5. Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei
dati (distruzione in modo sicuro).
6. Visibility and Transparency: garantisce che tutti i soggetti interessati in qualsiasi momento effettuare
potranno effettuare le verifiche più opportune in assoluta trasparenza.
7. Respect of user privacy: richiede agli operatori che gli interessi dei soggetti siano preminenti; approccio
user-centric.
7 PRINCIPI DELLA PRIVACY BY DESIGN
pag. 38

32MA CONFERENZA INTERNAZIONALE DELLE AUTORITÀ DI
PROTEZIONE DEI DATI
pag. 39
1. Recognize Privacy by Design as an essential component of fundamental privacy protection;
2. Encourage the adoption of Privacy by Design’s Foundational Principles, such as those set
out below as guidance to establishing privacy as an organization’s default mode of
operation;
3. Invite Data Protection and Privacy Commissioners/Authorities to:
a. promote Privacy by Design, as widely as possible through distribution of materials, education and personal
advocacy;
b. foster the incorporation of the Privacy by Design Foundational Principles in the formulation of privacy policy
and legislation within their respective jurisdictions;
c. proactively encourage research on Privacy by Design;
d. consider adding Privacy by Design to the agendas of events taking place on International Data Privacy Day
(January 28);
e. report back to the 33rd International Data Protection and Privacy Commissioners Conference, where
appropriate, on Privacy by Design activities and initiatives undertaken within their jurisdictions with a view to
sharing best practices.
Gerusalemme, 27-29 ottobre 2010

Lesson
#8
Il principio come logica è «datato», anche se adottato dalla Conferenza Mondiale dei Garanti della
protezione dei dati non se ne è vista molto traccia nei vari provvedimenti.

pag. 41
Qual è il significato del principio?

CHE COSA SIGNIFICA IL PRINCIPIO COME LOGICA GENERALE?
pag. 42
AUTO DELL’ANNO 1992
FINALISTA 2018
Opinione
personale!

PARLIAMO DI UN ESEMPIO DI QUESTI GIORNI
pag. 43
OPPURE
?

pag. 44
Proviamo a guardare oltre e capiamo
come applicare il principio in concreto

GDPR
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei
rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.
ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
pag. 45

QUINDI COSA CI DICE LA NORMA?
pag. 46
…. tenendo conto dello stato dell’arte
….
…. tenendo conto …. dei costi di
attuazione ….
…. misure tecniche …. adeguate ….
…. misure organizzative …. adeguate ….
…. attuare in modo efficace i principi di
protezione dei dati ….
Che cosa significa esattamente «tenere conto
dello stato dell’arte e dei costi di attuazione»?
Quali potrebbero essere le misure tecniche e
organizzative da tenere in considerazione?
Quali sono i principi di protezione dei dati?

pag. 47

COSA SI PUÒ INTENDERE PER STATO DELL’ARTE IN TERMINI DI
PROTEZIONE E SICUREZZA?
pag. 48

pag. 49

DATA BREACHES PASSATI DELLA NSA
pag. 50
Edward Joseph Snowden.
Ex tecnico della CIA e fino al 10 giugno 2013
collaboratore della Booz Allen Hamilton
(azienda di tecnologia informatica consulente
della NSA), è noto per aver rivelato
pubblicamente dettagli di diversi programmi
di sorveglianza di massa del governo
statunitense e britannico, fino ad allora
tenuti segreti. <omissis> Snowden ha rivelato
diverse informazioni su programmi di
intelligence segretati, tra cui il programma di
intercettazione telefonica tra Stati Uniti e
Unione europea riguardante i metadati delle
comunicazioni, il PRISM, Tempora e
programmi di sorveglianza Internet.
[fonte Wikipedia]

• Tutte le misure di sicurezza possono essere bypassate;
• Gli attaccanti o i «malintenzionati» non sono solo esterni ma
possono essere anche interni, persone che si conoscono e che
sono insospettabili (e che possono avere un accesso legittimo alle
informazioni);
• Gli attacchi possono essere «hybrid», sia informatici che
sociologici e fisici;
• Siamo forti quanto l’anello più debole della nostra difesa.
COSA CI RACCONTA LA STORIA DI EDWARD SNOWDEN?
pag. 51

DATA LEAKEGE HAKING TEAM
pag. 52
Il 5 luglio 2015 l'account Twitter della società fu violato da uno
sconosciuto che pubblicò l'annuncio di una fuga di dati (data
breach) partita dai sistemi informatici di Hacking Team. Il
messaggio iniziale recitava «Visto che non abbiamo nulla da
nascondere, stiamo pubblicando tutti i nostri messaggi di posta
elettronica, file e codici sorgente…» e dava i collegamenti a
oltre 400 gigabyte di dati, tra cui asseritamente e-mail ad uso
interno, fatture e codice sorgente; il tutto propagato via
BitTorrent e Mega. L'annuncio di tale fuga (corredato di
collegamento ad un bittorrent seed), fu rilanciato su Twitter da
WikiLeaks e molti altri social media.
[fonte: Wikipedia]

• L’attacco e la difesa sono due mestieri differenti;
• Anche i più bravi compiono errori (si parla di password deboli
quali 'P4ssword', 'wolverine' e 'universo’);
• Siamo forti quanto l’anello più debole della nostra difesa.
COSA CI RACCONTA LA STORIA DI HAKING TEAM?
pag. 53

Lesson
#9
La sicurezza al 100% non esiste, è solo un fattore di tempo e risorse (tecniche, skill ed
economiche). Tutto è vulnerabile e può essere violato!
Non tutti possono (e devono) mettere in piedi le stesse misure di sicurezza a protezione dei dati.
Le misure di sicurezza (soprattutto quelle tecniche) invecchiano ma, nel contempo, diventano
accessibili economicamente misure di sicurezza che prima erano costose.

pag. 55
Non tutti hanno le stesse risorse economiche

VALUTAZIONE DEI COSTI DI ATTUAZIONE (1/3)
pag. 56
Bacino di utenza circa 1.300.000 cittadini
Bacino di utenza circa 330.000 cittadini su 28 sedi differenti
Bacino di utenza circa 580.000 cittadini su 108 sedi differenti

pag. 57

pag. 58
Non basta dire «costa troppo, non c’è budget», va documentato l’individuazione
delle necessità, la prioritizzazione delle azioni identificate e i costi relativi attraverso
indagini di mercato e, meglio ancora, Request for Proposal/Request for Interest.
Va documentato bene soprattutto se è un’azione
importante e viene deciso di non farla o
posticiparla per ragioni economiche! Vanno
documentate anche le motivazione che hanno
portato a dare le priorità fra azioni differenti.

Lesson
#10
Il potere economico delle organizzazioni non è per tutti uguale, le organizzazioni devono scegliere
dove orientare la spesa in sicurezza che, comunque, deve essere proporzionata alla tipologia dei
dati e quantità di dati che gestiscono ed al potere economico dell’organizzazione.

pag. 60
Principi di protezione dei dati

1. I dati personali sono:
– <omissis>
f. trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»)
CAPO II PRINCIPI: ARTICOLO 5 PRINCIPI APPLICABILI AL
TRATTAMENTO DI DATI PERSONALI
pag. 61

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, che comprendono, tra le altre, se del caso:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente
fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative
al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,
conservati o comunque trattati.
SEZIONE 2: SICUREZZA DEI DATI PERSONALI
ARTICOLO 32: SICUREZZA DEL TRATTAMENTO
pag. 62

La riservatezza è il grado in cui l’accesso alle informazioni è limitato a un gruppo
preventivamente definito ed autorizzato ad avere questo accesso. Questo
include anche misure per proteggere la privacy.
RISERVATEZZA - CONFIDENTIALITY

• L'accesso alle informazioni è concessa secondo il principio del need to know. Non è necessario, per esempio, per un
impiegato del dipartimento Finance essere in grado di vedere i report di discussioni con il cliente;
• I dipendenti adottano misure atte a garantire che le informazioni non possano essere viste da persone non
autorizzate. Garantiscono, ad esempio, che nessun documento riservato siano lasciati sulla scrivania mentre sono
assenti (politica scrivania pulita);
• Gestione degli accessi logici assicura che le persone o i processi non autorizzati non hanno accesso a sistemi
automatizzati, database e programmi. Un utente, ad esempio, non ha il diritto di modificare le impostazioni del PC;
• Una separazione delle funzioni si crea tra l’organizzazione di sviluppo del sistema, l’organizzazione di elaborazione e
l’organizzazione che lo utilizza. Uno sviluppatore di sistema non è in grado, per esempio, apportare modifiche per
stipendi;
• Segregazioni rigide sono create tra l’ambiente di sviluppo, l’ambiente di test e collaudo e l’ambiente di produzione;
• Nel trattamento e l’utilizzo dei dati, sono adottate misure per garantire la privacy del personale e dei terzi. Il
dipartimento delle risorse umane (HR) ha, per esempio, la propria rete che non è accessibile ad altri servizi;
• L’uso del computer da parte degli utenti finali è protetta da misure atte a garantire la riservatezza delle
informazioni. Un esempio è una password per l’accesso al computer e alla rete.
MISURE DI SICUREZZA PER GARANTIRE LA RISERVATEZZA

L’integrità è il grado con cui le informazioni sono aggiornate e senza errori
Le caratteristiche dell’integrità sono:
• La correttezza delle informazioni;
• La completezza delle informazioni.
INTEGRITÀ - INTEGRITY
Information and Security

• I cambiamenti all’interno dei sistemi e nei dati sono sottoposti ad autorizzazione. Ad
esempio, un membro del personale inserisce un nuovo prezzo per un articolo sul sito web, e
un altro verifica la correttezza del prezzo prima della pubblicazione;
• Quando possibile, i sistemi sono costruiti in modo tale da forzare le persone ad utilizzare il
termine corretto. Ad esempio, un fornitore è sempre chiamato un «fornitore», il termine
«venditore» non può essere inserito;
• Le azioni degli utenti vengono registrate (log) in modo tale che può essere determinato chi
ha fatto la modifica delle informazioni;
• Le azioni di sistema vitali, ad esempio, l’installazione di un nuovo software, non possono
essere svolte da una sola persona. La separazione delle funzioni, le posizioni e l’autorità,
almeno due persone sono necessarie per effettuare un cambiamento che ha importanti
conseguenze;
• Il trasferimento di informazioni fra sistemi diversi include verifica dell’integrità di quanto
trasmesso. Ad esempio un sistema fa un hash del dato/file poi trasferisce i dati, all’arrivo
viene fatta una verifica dell’hash iniziale.
MISURE DI SICUREZZA PER GARANTIRE L’INTEGRITÀ

La disponibilità è il grado in cui le informazioni sono disponibili all’utente e al
sistema informativo nel momento in cui viene richiesto.
Le caratteristiche di disponibilità sono:
• Temporali: i sistemi informativi sono disponibili quando necessario;
• Continuità: il personale può continuare a lavorare in caso di guasto;
• Robustezza: vi è una capacità sufficiente per consentire a tutto il personale
nel sistema di lavorare.
DISPONIBILITÀ - AVAILABILITY

• La gestione dello storage dei dati è tale che la possibilità di perdita di dati è minima. I dati
sono, per esempio, memorizzato su un disco di rete, non sul disco rigido del PC;
• Le procedure di backup sono impostate. Sono presi in considerazione i requisiti normativi
per quanto tempo i dati devono essere conservati. La posizione del backup è separato
fisicamente dal luogo primario al fine di assicurare la disponibilità in casi di emergenza;
• Le procedure di emergenza sono impostate per assicurare che le attività possano
riprendere non appena possibile dopo un’interruzione importante.
MISURE DI SICUREZZA PER GARANTIRE LA DISPONIBILITÀ

Lesson
#11
Il concetto di Riservatezza, Integrità e Disponibilità dei dati o informazioni e come si possono
andare a proteggere questi aspetti esiste da tempo, esiste quindi uno storico di misure di sicurezza
da cui attingere.

La resilienza è la capacità di un sistema di adattarsi al cambiamento:
• In informatica, la resilienza è la capacità di un sistema di adattarsi alle
condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità
dei servizi erogati.
• In psicologia, la resilienza è la capacità di far fronte in maniera positiva agli
eventi traumatici.
• Nel risk management, la resilienza è la capacità intrinseca di un sistema di
modificare il proprio funzionamento prima, durante e in seguito ad un
cambiamento o ad una perturbazione, in modo da poter continuare le
operazioni necessarie sia in condizioni previste che in condizioni
impreviste.
RESILIENZA - DEFINIZIONE
pag. 70
Fonte: Wikipedia

RESILIENZA (1/5)
pag. 71
L’approccio odierno è basato sull’analisi del rischio: minacce, probabilità,
impatto, rischio
Ci basiamo sulla
che abbiamo vissuto e che conosciamo
SU COSA CI BASIAMO?
Opinione
personale!

RESILIENZA (2/5)
pag. 72
COSA CI TROVEREMO AD AFFRONTARE?
Servirebbe la sfera di cristallo
per organizzarsi nel modo
corretto!
Quale sarà la prossima minaccia a cui dovremo andare a rispondere?
…………….
Opinione
personale!

RESILIENZA (3/5)
pag. 73
COSA CI TROVEREMO AD AFFRONTARE?
Servirebbe la sfera di cristallo
per organizzarsi nel modo
corretto!
Purtroppo potrebbe essere ognuna di questa, più di una,
nessuna o anche qualche cosa di nuovo che non possiamo
immaginare.
Quindi come ci organizziamo? Mettiamo in piedi un Incident
Response Team o un Intrusion Detector?
Opinione
personale!

• Gli strumenti sono «rigidi», lavorano secondo delle regole. Se si esce dalle regole che gli sono state
date, per quanto «intelligenti», non sanno cosa fare;
• Le persone (competenti) sono agili, le persone sanno reagire ed adattarsi. Sanno usare le loro
competenze in circostanze non note a priori, sanno riconoscere similitudini;
• Le persone (competenti e non) posso, però, essere confuse, impaurite ed ingannate dai
malintenzionati.
• Adottiamo i nuovi modelli di analisi dei rischi che aiutano a gestire le incertezze.
• Bisogna investire sulle competenze delle persone!
• Formare le persone sia da un punto di vista metodologico che tecnologico;
• Bisogna conoscere bene la propria organizzazione sia da un punto di vista organizzativo sia dal punto
di vista tecnologico per sapere come reagirà in quelle circostanze;
• …….l’agilità però non significa anarchia, ma deve esserci una testa che dirige l’«orchestra»
RESILIENZA (4/5)
pag. 74
COME FACCIAMO A ESSERE AGILI?
QUINDI?
Opinione
personale!

RESILIENZA (5/5)
pag. 75
COME FACCIAMO A ESSERE AGILI?
Pensiamo e organizziamoci come un ospedale con strutture di prevenzione, cura quotidiana
ed anche con un pronto soccorso in grado di affrontare e rispondere a ogni evenienza e
lavorano in sinergia con le altre strutture per accedere alle loro competenze specialistiche
quando necessario.
+
Opinione
personale!

Lesson
#12
Le organizzazioni per essere resilienti possono adottare diversi approcci, probabilmente le persone
sono quelle più flessibili e agili. Un modo per gestire l’ignoto è puntare sulle competenze delle
persone.

pag. 77
Esempi di Misure Organizzative

• Definizione di un organigramma per la protezione dei dati;
• Formalizzazione dei ruoli interni (addetti al trattamento dei dati personali);
• Formalizzazione dei ruoli esterni (Responsabili del Trattamento);
• Definizione delle responsabilità (e “poteri”) del Data Protection Officer e sua nomina;
• Definizione della procedura di escalation interna di un data breach;
• Definizione di una Policy di Protezione dei Dati Personali;
• Definizione di un set di “Data Protection Management System” similare ad un ISMS ISO/IEC 27001;
• Definizione di processi e procedure di gestione ed approvazione (ad es. processi ITIL);
• Definizione di clausole contrattuali standard ed ad-hoc per i fornitori esterni sulla Protezione dei dati;
• Definizione di un processo di acquisizione del consenso;
• ……….
ESEMPI DI MISURE DI SICUREZZA ORGANIZZATIVE
pag. 78

pag. 79
Esempi di Misure tecniche

• Encryption dei dati;
• Firewall perimetrali;
• Badge visitatori;
• Segregazione delle reti attraverso VLAN;
• Utilizzo di una rete guest WiFi per gli ospiti;
• Distruggidocumenti;
• Inferiate;
• Porte blindate;
• Controllo accessi;
• Controllo accessi a più fattori;
• Videosorveglianza;
• Antivirus/antimalware;
• Firewall applicativi;
ESEMPI DI MISURE DI SICUREZZA TECNICHE
pag. 80
• Vulnerabili Assessement;
• Penetration Test;
• Verifiche integrità dei dati;
• SIEM;
• DLP;
• Sonde;
• NAC;
• Vigilanza;
• Code review;
• PGP;
• Log Collector;
• Patching;
• …….

pag. 81
Praticamente come si può fare?

1. L’organizzazione svolge una serie di attività, solo una parte di queste includono il
trattamento di dati personali;
2. L’organizzazione identifica:
i. la lista dei trattamenti che svolge nel complesso;
ii. la criticità degli stessi secondo la WP 248 rev.01;
3. Effettua il Data Protection Impact Assessment sui trattamenti critici;
4. Passa alla progettazione del Trattamento e dei sistemi ad esso connessi:
i. effettua un’analisi dei rischi per comprendere le possibili minacce interne e/o esterne a cui
può essere soggetto e identifica le misure di sicurezza necessarie;
ii. definisce le verifiche di sicurezza in corso di sviluppo che devono essere effettuate;
iii. valuta i risultati delle verifiche di sicurezza;
iv. effettua un collaudo di sicurezza prima della messa in esercizio.
CONSIDERAZIONE GENERALE
pag. 82

PRINCIPI FONDAMENTALI RELATIVI ALLA VALUTAZIONE D'IMPATTO
SULLA PROTEZIONE DEI DATI
pag. 83

IN PRATICA COSA SI FA? (1/3)
pag. 84
Denominazione
trattamento
Tipologia del
trattamento
Descrizione trattamento Responsabilità legate al trattamento
Strutture coinvolte nella
gestione del trattamento
Tipologia di dati trattati
Data inizio
trattamento
Data di fine
trattamento
Criticità
(SI/NO)
Motivazione se non critica
Gestione del personale Titolare
Il Trattamento è relativo alla
gestione delle informazioni del
personale dipendente di
ORGANIZZAZIONEdal momento
dell'assunzione fino al momento
del termine volontario o coatto del
rapporto di lavoro.
Il Trattamento include la gestione della formazione del personale
dipendente per le diverse tematiche generali all'organizzazione (ad
es. sicurezza sul luogo di lavoro). Il Trattamento include la
gestione e pianifcazione delle visite mediche di sorveglianza dei
lavoratori ma non le relative cartelle cliniche che sono mantenute
da parte del medico competente. Il Trattamento gestisce anche le
informazioni relative alle presenze ed assenze ordinarie (ferie e
permessi) che quelle non ordinarie (malattie, assenze
ingiustificate, accesso a permessi Legge 104, ecc.). Il Trattamento
gestisce anche dati sensibili derivanti da certificati medici che
attestano riduzione temporanea o permanente delle capacità
lavorative del personale dipendente.
• Direzione risorse umane
• Gestione dei sistemi informativi
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• Codice Fiscale
• fotografie
• numeri di matricola
• numeri telefonici
• indirizzi email
Dati Sensibili:
• appartenenza a categorie protette
• iscrizione a sindacati
• malattie
• limitazioni fisiche temporanee e/o permanenti
Dati giudiziari:
• pignoramento quinto dello stipendio
Pre-esistente al
25/05/2018
In corso SI
Amministrazione e
contabilità
Titolare
gestione amministrativa e
contabile dell'ORGANIZZAZIONE.
Il Trattamento include la gestione amministrativa e contabile di
ORGANIZZAZIONE, il Trattamento gestisce anche il compenso del
personale del Consiglio di Amministrazione e i relativi dati
necessari.
• Amministrazione
• Gestione dei sistemi Informativi
Dati di entità giuridiche:
• Ragione sociale
• partita IVA
• indirizzo
• nome e cognome
• numeri telefonici
• indirizzi email
Pre-esistente al
25/05/2018
In corso NO
Sono gestiti prevalentemente dati di entità
giuridiche, i dati personali presente nel
trattamento sono i riferimenti di persone
fisiche e comunque dati personali
classificabili come comuni (nome, cognome,
numero di telefono aziendale, numero
cellulare aziendale, indirizzo mail, ecc.).
Videosorveglianza Titolare
Il Trattamento è relativo al
servizio di videosorveglianza
delle sedi e dei magazzini.
Il Trattamento include la gestione del servizio di video sorveglianza
delle sedi di ORGANIZZAZIONE. Il Trattamento include sia la
sorveglianza esterna alle sedi che quella interna su alcune punti
ritenuti critici.
• Direzione dei Sistemi
Informativi
• immagini
• video
Dati sensibili (potenziali):
• stato di salute
• razza/etinia
• fede religiosa
Pre-esistente al
25/05/2018
In corso SI
Sicurezza fisica e gestione
accessi
Titolare
gestione della sicurezza fisica
della sede ORGANIZZAZIONE
nonché degli ingressi presso la
sede.
Il Trattamento include la sicurezza fisica perimetrale della sede
ORGANIZZAZIONEe la gestione degli accessi del personale non
dipendente presso la sede ORGANIZZAZIONE.
•
• nome e cognome
• numero documento di identità
• documento di identità
Pre-esistente al
25/05/2018
In corso NO
Sono gestiti prevalentemente dati personali
classificabili come comuni (nome, cognome,
ecc.). I documenti di identità sono presi solo
in visione.
…… …. … …. … … … … … …
Opinione
personale!

pag. 85

pag. 86

NOTA IMPORTANTE
pag. 87
QUANDO SI EFFETTUA UNA DPIA IL PUNTO DI
VISTA È L’INTERESSATO, NON L’ORGANIZZAZIONE!
Ad es.: perdita di immagine dell’organizzazione, perdita
economica dell’organizzazione o altro non sono
aspetti da prendere in considerazione nella DPIA

• I trattamenti non critici non devono avere misure di sicurezza tecniche ed organizzative?
– Beh, tutto deve avere un battente minimo di misure di sicurezza, tutto deve essere protetto;
• Ogni trattamento e ogni sistema di supporto ha misure di sicurezza tecniche ed
organizzative diverse e pensate ad hoc per loro?
– In parte si, ma ci sono sicuramente delle misure di sicurezza aggiuntive comuni a più trattamenti e sistemi.
Qualcuno potrà necessitare di misure ad hoc, ma non è la regola;
• Le misure di sicurezza tecniche e organizzative dipendono dalla forma dei dati personali?
– Sicuramente si, un conto è proteggere dati in formato digitale e un conto è se sono in forma cartacea;
• Hanno una diversa robustezza in funzione della forma di conservazione?
– In termini di robustezza devono essere equivalenti, in forma diversa ma equivalente poiché il dato da
proteggere è lo stesso;
• I servizi di supporto alla gestione ICT (ma non solo) sono trasversali?
– Ci sono una serie di servizi (e misure di sicurezza) trasversali.
RIFLESSIONI
pag. 88
Opinione
personale!

1. Esistono un insieme di misure di sicurezza tecniche e organizzative generali
che sono di base per tutti i trattamenti di dati personali e non;
2. Esistono dei trattamenti (o gruppi di trattamenti) di dati personali che
necessitano di misure di sicurezza tecniche e/o organizzative
supplementari e dipendono dalla criticità che hanno;
3. Vanno considerate diverse tipologie di minacce e di scenari per definire la
protezione dei trattamenti e dei relativi dati personali.
CHE COSA DICE L’ESPERIENZA?
pag. 89
Opinione
personale!

LOGICA DELLE MISURE SI SICUREZZA
pag. 90
TRATTAMENTO1
TRATTAMENTO2
TRATTAMENTO3
TRATTAMENTON
……………DELTA 1
DELTA 2
DELTA N
MISURE DI SICUREZZA GENERALI A TUTTA L’ORGANIZZAZIONE
(ANCHE SENZA DATI PERSONALI)
MISURE DI SICUREZZA GENERALI A TUTTA
L’ORGANIZZAZIONE SUI TRATTAMENTI CHE GESTISCONO
DATI PERSONALI
DELTA A
DELTA B
Opinione
personale!

MISURE DI SICUREZZA GENERALI A TUTTA L’ORGANIZZAZIONE
pag. 91
ORGANIZZATIVETECNICHE
NON IT IT
PRIVACY POLICY
SISTEMA DI GESTIONE PER
LA PROTEZIONE DEI DATI
PROCESSO PRIVACY
DATA BREACH IDENTIFICATION,
ESCALATION E NOTIFICATION
PROCESSO/I PER DIRITTI
INTERESSATO
………..
SICUREZZA PERIMETRALE
SEPARAZIONE DELLE RETI
ANTIVIRUS/ANTIMALWARE
ANTISPAM
MONITORING
ACCESS MANAGEMENT
PATCH MANAGEMENT
……...
CONTROLLO ACCESSI
PORTE
ARMADI
BADGE
ANTINCENDIO
………
Opinione
personale!

Lesson
#13
Probabilmente nelle organizzazioni esistono delle misure di sicurezza generalizzate a tutta
l’organizzazione, quindi si può ragionare per delta aggiuntivi sui trattamenti che li richiedono
oppure per fasce.

pag. 93
Processo di progettazione del trattamento

POSSIBILI SITUAZIONI
pag. 94
Nuovo trattamento
Trattamento esistente

NUOVO TRATTAMENTO
pag. 95

COME SI PUÒ FARE IN PRATICA?
pag. 96
Baseline S05
System
Security
Protezione dei
flussi di
comunicazione
esterni
S
Tutti gli accessi e/o i flussi di comunicazione da e verso l'esterno (ad es. verso Partner o Customer) devono utilizzare canali di
comunicazione sicura e/o cifrata (ad es. SFTP, FTPS, https, VPN, ecc.).
Tutti i portali accedibili dall'esterno devono utilizzare protocolli di comunicazione cifrata (ad es. https/TLS, ecc.).
Policy interna Utilizzo di flussi cifrati per le comunicazioni verso l'esterno.
Baseline S06
Data
protection
Data Security in
Testing
S
I dati presenti sui sistemi dell'ambiente di produzione/live devono essere separati dai dati utilizzati per il test o di sviluppo.
In tutti gli ambienti non di produzione, dati personali degli utenti non devono essere utilizzati, a meno che i dati siano
adeguatamente protetti.
In particolare, se sono necessari dati "live", devono essere attuate misure idonee al fine di mascherare / anonimizzare i dati
personali degli utenti (in modo tale che la persona interessata non può essere identificata).
Policy interna Separazione dei dati fra ambiente di produzione e
ambiente di test.
Baseline S07 Logging Audit Log S
Le componenti del sistema (OS, DB, applicativo, etc.) devono essere integrate con QRadar per l'invio dei log.
• OS e applicativo: login, logout, login-failed;
• DB: login, logout, login-failed, admin activity.
All.B D. Lgs. 196 Attivazione collezionamento ed audit log su Qradar
Portali S09 Access Control
Anti bot form
(captcha)
S
Tutte le form esposte verso l'esterno ai clienti che richiedono il riempimento dei campi devono essere protetti con CAPTCHA per
evitare attacchi bot al fine di evitare attacchi SPAMo DoS.
Policy interna Attivazione della funzionalità CAPTCHA su tutte le form
esposte verso l'esterno.
Portali S11
System
Security
Secure Cookie
Policy
S
Tutti i cookie utilizzati per tracciare le sessioni, devono essere protetti attraverso il settaggio dei seguenti attributi:
• HTTPOnly attribute;
• Secure attribute, per la gestione dei cookie soltanto attraverso connessioni sicure (ad es. SSL).
Policy interna Attivazione degli attributi HTTPOnly and Secure su tutti i
webserver.
Delivery
nuovo HW
S12
System
Security
Hardening, patching
e VA
S
Le diverse componenti del nuovo sistema (OS, DB e Middleware) devono essere:
• sottoposti ad hardening secondo la specifica checklist di security;
• aggiornati all'ultimo livello di patch disponibile da parte del produttore.
I nuovi server devono essere sottoposti a Vulnerability Assessment.
All.B D. Lgs. 196
Policy interna
Esecuzione, prima del go-live, dell'hardening sui sistemi,
aggiornamento all'ultimo livello di patch disponibile e
report di scansione senza vulnerabilità segnalate ovvero
piano di rientro delle vulnerabilità segnalate.
Delivery
nuovo HW
S13
System
Security
Antivirus /
Antimalware
Protection
S
Sui server Windows deve essere attivato un sistema di protezione Antivirus/antimalware connesso alla console centrale per gli
aggiornamenti.
All.B D. Lgs. 196 Installazione agent antivirus sui server Windows ed
integrazione con la console centrale per gli aggiornamenti
periodici.
Nuovi
rilasci SW
S14
System
Security
Secure SW
Developement
S
Le attività di sviluppo devono essere effettuate seguendo la policy di sviluppo sicuro del software (S-SDL) e le checklist di secure
coding relative ai linguaggi di programmazione utilizzati.
Devono essere previste misure per la gestione sicura del codice sorgente, che è accessibile dal solo personale autorizzato (ad es.
repository SVN) e, in caso accessi dall'esterno, protetto tramite whitelist FW o VPN.
Policy interna n.a.
Nuovi
rilasci SW
S15
System
Security
SAST S
I nuovi rilasci software devono essere sottoposti a scansione statica del codice sorgente (SAST) al fine di individuare e sanare
eventuali vulnerabilità prima del rilascio in esercizio.
Policy interna Report di scansione senza vulnerabilità segnalate ovvero
Nuovi
rilasci SW
S16
System
Security
DAST S
Sulle interfacce applicative/portali web (ad es. front end web, console, msite, ecc.) deve essere effettuata una scansione dinamica
(DAST), con una successiva eventuale attività di mitigation per le vulnerabilità a più alta criticità riscontrate.
Policy interna Report di scansione senza vulnerabilità segnalate ovvero
Dati critici S17
Data
protection
Data Encryption S
I sistemi che conservano dati "critici" (ad es. dati sensibili, dati bancari, PIN, ecc.) devono implementare controlli di cifratura dei dati
(a livello OS/DB/applicativo) per garantirne la riservatezza delle informazioni.
Deve essere previsto una gestione sicura delle chiavi crittografiche (tale per cui la chiave sia conosciuta da un solo soggetto e
conservata in modo sicuro).
Policy interna Attivazione dei controlli di cifratura.
Dati critici S18
Data
protection
Data Integrity S
I sistemi che conservano dati "critici" (ad es. audit log, giocate, estrazioni, ecc.) devono implementare controlli di integrità/firma (ad
es. attraverso l'utilizzo di hashing, trusted timestamp, sistemi di controllo/monitoraggio dell'integrità dei file, ecc.).
Policy interna Attivazione dei controlli di integrità/firma.
Dati critici S19 Access Control
Strong
Authentication
S
L'accesso a dati critici (ad es. dati sensibili, dati di business, estrazioni, vincite, ecc.) deve essere protetto da sistemi di strong
authentication (basata su due fattori).
Policy interna Attivazione del sistema di accesso attraverso strong
authentication in ambiente di collaudo e di produzione.
Sorgente del req. Criterio di accettazioneCHL Id Ambito Req.
Requisito
(nome breve per
Requisito)
Class. Descrizione
Opinione
personale!

Opinione
personale!
NUOVO TRATTAMENTO
pag. 97

NUOVO TRATTAMENTO
pag. 98
Identificazione
dei rischi
Analisi dei
rischi
Valutazione dei
rischi
Trattamento
dei rischi
MINACCE SCENARI DI
ATTACCO
REQUISITI DI
SICUREZZA
VERIFICHE DI
SICUREZZA
PROTEZIONE DEI DATI
+
SICUREZZA (ORGANIZZAZIONE)
Opinione
personale!

REQUISITI DI SICUREZZA IN CONCRETO
pag. 99
Id. SEC.REQ.1. Flow encryption
Scope Production Environment – Flow between all Components
Impacted Components: All
Name Flow encryption
Classification S (Security)
Description The flow of personal data between each components need to be
managed with encrypted data transmission protocols require an
encryption, with a minimum key length of 256 bit and the use of
certificates of trusted certification organizations.
In asymmetric exchange of data (e.g. by an xml file stored in a
repository) have to be used an equivalent protection of
confidentiality of the data (e.g. by and public and private keys).
Ownership The ownership for the definition of the technical solution for this
requirement is in charge of the Design team and each partner for its
ownership(s).
Checks TBD
Notes When the data exchanged is:
 a common data (not personal or sensitive data); or
 an anonymized personal data;
this requirement could be avoid.
Id. SEC.REQ.1. System to system authentication
Scope Production Environment – Flow between all Components
Impacted Components: All
Name Authentication
Description The communication between different components of the Platform
have to happen only by a mutual authentication between
components.
Introduce the control that the component of the system could
receive the data only from trusted source/s (e.g. authorized IP for
the connection)
Ownership The ownership for the definition of the technical solution for this
requirement is in charge of the Business-e and the design team each
partner for its ownership(s).
Checks TBD
Notes When the data exchanged is a common data (not personal or
sensitive data) this requirement could be avoid.
Opinione
personale!

REQUISITI DI SICUREZZA IN CONCRETO
pag. 100
Id. SEC.REQ.1. Security logging for insider
Scope Production Environment – All new management / Back Office
consoles accessible by the insiders
Impacted Components: TBD
Name Security Logging for insider
Description All component have to be configure for trace and send logs to a
specific SIEM or Log Collector (not included into Platform).
In details, it’s required that the SW Platforms provides the following
type of logs:
 Login successful
 Login failed
 Logout
Ownership TBD
Checks TBD
Notes The implementation of this security requirement could be changed
with a temporary solution (e.g. local logging of the OS, Database,
etc.) for the TRL 7 version.
When the data exchanged is a common data (not personal or
sensitive data) this requirement could be avoid.
Id. SEC.REQ.1. Penetration testing
Scope SELIS Platform and Living labs
Impacted Components: TBD
Name Penetration Testing
Description The final version of the platform has to test with a
Penetration Test and Vulnerability Assessment.
Ownership TBD
Checks TBD
Notes The scope and the attack(s) scenario will be define before the
testing.
Opinione
personale!

Source code
Detailed Design
specification
General Design
specification
SVILUPPO DEL TRATTAMENTO E DEI SISTEMI
pag. 101
SVILUPPO A CASCATA
Requisiti
Funzionali
Infrastrutturali
Sicurezza
Protezione dati
TESTING
Static code
review
Quality
assurance and
testing
Dynamic code
review
Unit testing
Infrastructure
testing
Component
testing
Penetration
testing
Acceptance
testing
Opinione
personale!

GO LIVE DEL TRATTAMENTO
pag. 102
PRIMA DEL GO-LIVE SI PUÒ INSERIRE
UN CONTROLLO «FRONTALIERO» CHE
MIRA A VERIFICARE CHE TUTTO
QUELLO CHE DOVEVA ESSERE FATTO
PRIMA DELLA MESSA IN ESERCIZIO È
STATO EFFETTIVAMENTE FATTO.
Opinione
personale!

TRATTAMENTO ESISTENTE
pag. 103
Cambiamento importante sul
trattamento
Verifica periodica o piccoli
cambiamenti sul trattamento
Progettazione
secondo DPbD
Nuova DPIA o analisi
DPIA produttore
Audit di sicurezza
Vulnerability Assessment
Penetration test
Gestione dei
rientri
Verifica
risoluzioni
Verifiche di sicurezza
Opinione
personale!

Lesson
#14
La Data Protection by Design può essere vista come un processo con varie opzioni che hanno lo
scopo di «pensare in sicurezza» i sistemi oltre a quello di «metterli e mantenerli in sicurezza» nel
tempo.

pag. 105
Considerazioni generali sulla sicurezza

La sicurezza è un processo continuo, bisogna pensare ad uno sviluppo
sicuro!
Misure di sicurezza
pensate per
tempo!
PREVEDERE VERIFICHE DI SICUREZZA CONTINUA IN FASE DI
PROGETTAZIONE E DI SVILUPPO
Opinione
personale!

Gli hacker vedono da un punto di vista differente le cose, la sicurezza
va provata «sul campo»!
Misure di sicurezza
adeguate!
PREVEDERE TEST DI SICUREZZA
Opinione
personale!

I dati hanno un valore sul “mercato”, perché complicarsi la vita e
gestire dati non necessari alle funzionalità dei sistemi?
Fonte: Trendmicro
Meno misure di
sicurezza
necessarie!
DESENSIBILIZZARE I SISTEMI, GESTIRE SOLO I DATI PERSONALI
NECESSARI
Opinione
personale!

I requisiti e le funzionalità di sicurezza vanno di pari passo con i
requisiti funzionali e le funzionalità, implementare dopo la sicurezza
costa di più ed è meno efficace!
Misure di sicurezza
pensate per
tempo!
Sviluppo a cascata tradizionale
Funzionali
Infrastrutturali
Sicurezza
Sicurezza
Sviluppo agile
DEFINIRE I REQUISITI DI SICUREZZA IN FASE INIZIALE DEL PROGETTO
Opinione
personale!

COSTI RISOLUZIONE PROBLEMATICHE DI SICUREZZA (NIST/AGID)
pag. 110

pag. 111
Conclusioni del Seminario

• L’applicazione reale del Principio di Data Protection by Design non è così
chiaro, ad oggi non ci sono molti dettagli e opinion del WP29 sul tema;
• La sicurezza al 100% non esiste ed è solo utopia;
• Ogni organizzazione deve pensare alle misure di sicurezza giuste per se
stessa (accountability);
• Il Data Protection by Design può essere visto come un processo;
• Esistono standard e best practices ampie sulla sicurezza delle informazioni a
cui poter attingere per fare bene la protezione dei dati.
• …..ricordate le varie «lesson»
CONCLUSIONI SUL MODULO
pag. 112

pag. 113
Imparare a implementare la
conformità alla protezione dei dati è
un po’ come imparare a fare il
genitore, lo si impara strada facendo
….e ogni figlio è diverso dall’altro.
(Andrea Praitano)

pag. 114
Andrea Praitano
andrea.praitano@gmail.com
@apraitano
+39 328 8122642
it.linkedin.com/in/andreapraitano/
Commissione Sicurezza informatica

[Ord ing] data protection by design v1.6

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to [Ord ing] data protection by design v1.6

Similar to [Ord ing] data protection by design v1.6 (20)

More from Andrea Praitano

More from Andrea Praitano (11)

[Ord ing] data protection by design v1.6

Editor's Notes