Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical H...
[Ord ing] data protection by design v1.6
1. ING. ANDREA PRAITANO
PRINCIPI DI PRIVACY BY DESIGN E BY DEFAULT
L’IMPATTO SULLA PROGETTAZIONE E L’ESERCIZIO DEI SISTEMI
INFORMATIVI
ING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
2. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 2
Lieutenant on
leave
Member of the
Board
ANDREA PRAITANO
MA ANCHE …..
3. ING. ANDREA PRAITANOING. ANDREA PRAITANO
AGENDA
pag. 3
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
4. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 4
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
5. ING. ANDREA PRAITANO
pag. 5
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Alcuni concetti introduttivi
6. ING. ANDREA PRAITANO
6
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
IL REGOLAMENTO (UE) 2016/679 NON PARLA DI “PRIVACY” ….PARLA DI
“PROTEZIONE DEI DATI”
7. ING. ANDREA PRAITANOING. ANDREA PRAITANO
QUALCHE DEFINIZIONE (1/3)
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 7
Termine Definizione
Protezione dei
dati
È quella disciplina dedita alla protezione dei dati personali, dati sensibili e dati giudiziari in termini di
disponibilità, autenticità, integrità e riservatezza dei dati personali conservati o trasmessi e la sicurezza
dei relativi servizi offerti
Privacy La privacy termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla riservatezza
della propria vita privata
[Fonte: Wikipedia]
(privacy non può essere considerato sinonimo della protezione dei dati come richiesto dalla normativa)
Sicurezza delle
informazioni
2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità
dell’informazione
Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-repudiation
(2.54), and reliability (2.62) can also be involved.
[Fonte ISO/IEC 27000:2014]
Cybersecurity Preservazione di riservatezza, integrità e disponibilità dell’informazione nel Cyberspace
[Fonte ISO/IEC 27032:2012]
Cyberspace: “the complex environment resulting from the interaction of people, software and services on the Internet by means of
technology devices and networks connected to it, which does not exist in any physical form”
………..
8. ING. ANDREA PRAITANOING. ANDREA PRAITANO
QUALCHE DEFINIZIONE (2/3)
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 8
http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296
9. ING. ANDREA PRAITANOING. ANDREA PRAITANO
QUALCHE DEFINIZIONE (3/3)
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 9
http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296
10. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 10
Lesson
#1
La protezione dei dati (comunemente nota anche come privacy), la sicurezza delle informazioni, la
sicurezza informatica e la cyber security non sono cose diverse fra di loro ma parte di una stessa
«famiglia», quindi possono essere affrontate insieme o, comunque, con le stesse tecniche e
conoscenze.
11. ING. ANDREA PRAITANOING. ANDREA PRAITANO
CITAZIONE DA BRUCE SCHNEIER
(SECURITY GURU)
pag. 11
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
”La sicurezza richiede una particolare mentalità. I professionisti
della sicurezza - almeno quelli buoni - vedono il mondo in modo
diverso. Non possono entrare in un negozio senza accorgersi di
come si potrebbe rubare. Non possono utilizzare un computer senza
chiedersi le vulnerabilità di sicurezza. Non possono farne a meno!„
The Security Mindset
Posted on March 25, 2008 at 5:27 AM
www.schneier.com
12. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 12
Lesson
#2
Ognuno di noi vede le cose attraverso degli occhiali che filtrano in base alla propria esperienza, se
si è un legale si vedranno più probabilmente mancanze normative o «appigli per fare causa o
difendersi», se si è un malintenzionato si vedranno le vulnerabilità e come si possono aggirare. Per
difendersi bisogna mettersi nei panni dell’attaccante e cercare di prevenirlo, se possibile.
13. ING. ANDREA PRAITANOING. ANDREA PRAITANO
FAMIGLIA ISO/IEC 270XX
pag. 13
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
14. ING. ANDREA PRAITANOING. ANDREA PRAITANO
OWASP & SANS 20 & NIST
pag. 14
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
15. ING. ANDREA PRAITANOING. ANDREA PRAITANO
LINEE GUIDA AGID SVILUPPO SICURO E DPBD
pag. 15
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
16. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 16
Lesson
#3
Non inventiamo l’acqua calda, esiste una vasta conoscenza di buone pratiche sulla sicurezza delle
informazioni, usiamola e prendiamo spunto per la protezione dei dati!
17. ING. ANDREA PRAITANO
17
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Nuovo quadro normativo Europeo
18. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 18
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Evoluzione della normativa
19. ING. ANDREA PRAITANOING. ANDREA PRAITANO
DIRETTIVA 95/46/EC
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 19
La Direttiva Europea da cui deriva la normativa privacy attuale è «abbastanza» datata.
Google non c’era (è nato nel 1997)
Yahoo, era poco più che in fasce (è nato nel 1994)
Lo «smartphone» di allora era il Nokia 9000 Communicator che fu
presentato al CeBIT del 1996
L’Internet «veloce» era a 56k
Facebook non era neanche in fasce (lanciato il 4 febbraio 2004)
…e questo era il mio cellulare
di allora
Vi ricordate il 1995?
20. ING. ANDREA PRAITANOING. ANDREA PRAITANO
EVOLUZIONE DELLA NORMATIVA
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 20
https://iapp.org/resources/article/a-brief-history-
of-the-general-data-protection-regulation/
21. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 21
Lesson
#4
Il mondo evolve rapidamente, le leggi hanno cicli di aggiornamento molto lenti, anche gli standard
(ad es. ISO) hanno cicli non velocissimi (solitamente 5 anni). Le organizzazioni devono adeguarsi
rapidamente alle nuove minacce. Devono essere messi in piedi sistemi di verifica e miglioramento
continuo quelli che le norme ISO chiamano i sistemi di gestione e il DLgs 196 imponeva come ciclo
annuale.
22. ING. ANDREA PRAITANO
pag. 22
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Il Regolamento (UE) 2016/679 (GDPR)
23. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Carta dei diritti fondamentali dell’UE
Articolo 1: Dignità umana
Articolo 2: Diritto alla vita
Articolo 3: Diritto all’integrità della persona
Articolo 4: Proibizione della tortura e delle pene o trattamenti
inumani o degradanti
Articolo 5: Proibizione della schiavitù e del lavoro forzato
Articolo 6: Diritto alla libertà e alla sicurezza
Articolo 7: Rispetto della vita privata e della vita familiare
DA DOVE NASCE IL DIRITTO ALLA PROTEZIONE DEI DATI NELLA UE?
pag. 23
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
24. ING. ANDREA PRAITANOING. ANDREA PRAITANO
CARTA DEI DIRITTI FONDAMENTALI DELL’UE
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 24
25. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Regolamento (UE) 2016/679 - General Data Protection Regulation – GDPR
(alcune parti sono da recepire con leggi nazionali)
Direttiva (UE) 2016/680 – Direttiva generale dati giudiziari (ancora da recepire)
Draft del Regolamento ePrivacy (sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per la tutela della vita privata
nel settore delle comunicazioni elettroniche - recepita dal D.Lgs. 196:2003)
Provvedimenti del Garante della protezione dei Dati personali
Complessivamente la
normativa non è, allo
stato attuale, del
tutto chiara.
PROTEZIONE DEI DATI PERSONALI/PRIVACY
Articolo 8 Carta dei diritti fondamentali dell’UE
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 25
26. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Art. 7
Art. 8
FRAMEWORK EUROPEO SULLA PRIVACY: NON SOLO GDPR
Articolo 8 Carta dei diritti
fondamentali dell’UE
Regolamento (UE)
2016/679 - GDPR
(sostituisce la Direttiva 95/46/EC)
Direttiva (UE) 2016/680
Direttiva generale dati giudiziari
(recepita dallo schema di decreto del
21/03/2018))
Proposta Regolamento
ePrivacy
(sostituisce la Direttiva 2002/58/CE –
Direttiva generale per il trattamento
dei dati personali e per la tutela
della vita privata nel settore delle
comunicazioni elettroniche - recepita
dallo schema di decreto del
21/03/2018
Guideline Working Party
29 e Garanti Privacy
……….
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 26
Opinione
personale!
27. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy
italiano è il recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte
del parlamento Europeo. Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa
italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) È ABROGATO A DECORRERE DAL
25/05/2018
Schema decreto approvato dal PCDM in data 21/03/2018
Art. 101 Abrogazioni
1. A decorrere dall’entrata in vigore del presente decreto, il Codice in materia di protezione
dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 è abrogato. A
decorrere da tale data sono altresì abrogati i commi 1021 e 1024 dell’articolo 1 della legge
27 dicembre 2017, n. 205
COSA SUCCEDE ALLA NORMATIVA ATTUALE?
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 27
28. ING. ANDREA PRAITANOING. ANDREA PRAITANO
LA NORMATIVE NON È UGUALE IN TUTTA EUROPA
pag. 28
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Il framework della protezione dei dati europeo si compone della carta dei diritti dell’Unione uguale per
tutti, di un regolamento uguale per tutti (ma con punti aperti), e due direttive recepite dagli stati
dell’Unione. Quindi di fatto differenze fra le diverse nazioni ci sono anche se molto meno di prima.
Da capire cosa succederà anche con le evoluzione derivanti dai diritti common law e civil law.
Compito dell’European Data Protection Board è quello di omogeneizzare la normativa al livello
europeo.
29. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 29
Lesson
#5
Il nuovo framework della protezione dei dati personali è articolato e complesso. Ci sono aspetti
che si sovrappongono e che potrebbero essere in contrasto fra di loro. La normativa per la
protezione dei dati non è uguale in tutta Europa ma possiamo dire che ha un battente comune.
30. ING. ANDREA PRAITANOING. ANDREA PRAITANO
I PILASTRI DEL GDPR
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 30
Dataprotectionbydesign
(GDPRArt.25)
Dataprotectionbydefault
(GDPRArt.25)
Data Protection for European’s citizens
DataProtectionOfficer
(GDPRArt.37÷39)
DataProtectionImpactAssessment
(GDPRArt.35)
DataBreaches
(GDPRArt.33and34)
Territorialscope
(GDPRArt.3)
Accountability
GDPRArt.5)
Datasubjects’rights
(GDPRArt.12÷21)
EuropeanDataProtectionBoard
(GDPRArt.68)
31. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 31
Lesson
#6
Il GDPR ha dei principi basilari importanti e che potrebbe essere complesso implementare
all’interno delle organizzazioni.
32. ING. ANDREA PRAITANOING. ANDREA PRAITANO
GDPR
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione e
protezione per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei
rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.
ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
pag. 32
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
33. ING. ANDREA PRAITANOING. ANDREA PRAITANO
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione e
protezione per impostazione predefinita
1. Gli Stati membri dispongono che il titolare del trattamento, tenuto conto dello stato
dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del
contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità
diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al
momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, metta
in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad
attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a
integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti della
presente direttiva e tutelare i diritti degli interessati.
ARTICOLO 20: DATA PROTECTION BY DESIGN AND BY
DEFAULT
pag. 33
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Direttiva
680/2016
34. ING. ANDREA PRAITANOING. ANDREA PRAITANO
23) I principi della protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita sono disciplinati all’articolo 25 del regolamento (UE) 2016/679. Attualmente le
impostazioni predefinite per i marcatori nella maggior parte dei navigatori sono del tipo
“accetta tutti i marcatori”. I fornitori di programmi che consentono il recupero e la
presentazione di informazioni presenti in rete dovrebbero quindi essere obbligati a configurare
il programma affinché esso preveda l’opzione volta a impedire che terzi conservino
informazioni sull’apparecchiatura terminale, spesso presentata come “rifiuta tutti i marcatori di
terzi”. Gli utenti finali dovrebbero avere a disposizione un insieme di opzioni di impostazione
della vita privata comprese fra la più restrittiva (per es. “non accettare mai marcatori”) e la
meno restrittiva (per es. “accetta sempre i marcatori”) e una posizione intermedia (per es.
“rifiuta i marcatori di terzi” o “accetta solo i marcatori di prima parte”). Tali impostazioni della
vita privata dovrebbero essere presentate in modo facilmente visibile e intelligibile.
CONSIDERANDO 23: BOZZA REGOLAMENTO EPRIVACY
pag. 34
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
ePrivacy
35. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 35
Lesson
#7
Il principio del Data Protection by Design del GDPR può essere visto come il prevedere la sicurezza
come parte integrante dei sistemi e non solo come un add-on che, gioco forza, sarebbe meno
efficace. È poi un approccio ciclico che parte dalla progettazione ma continua per tutta la vita del
sistema. Gli attaccanti utilizzano schemi mentali di attacco completamente differenti da chi
gestisce il sistema stesso.
36. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 36
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
37. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. Proactive not reactive; Preventative not remedial
2. Privacy as the default setting
3. Privacy embedded into design
4. Full functionality – positive-sum, not zero-sum
5. End-to-end security – full lifecycle protection
6. Visibility and transparency – keep it open
7. Respect for user privacy – keep it user-centric
http://www.privacybydesign.ca/
Information and Privacy Commissioner of Ontario, Canada
SEVEN PRINCIPLES OF PRIVACY BY DESIGN
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 37
38. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. Proactive: approccio proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non
attendere che essi si verifichino per proporre rimedi alle soluzioni.
2. By Default: salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; nessuna azione è
richiesta all’interessato per proteggere la propria privacy.
3. Embedded: è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un
quid pluris.
4. Positive – Sum: mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo
“win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”.
5. Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei
dati (distruzione in modo sicuro).
6. Visibility and Transparency: garantisce che tutti i soggetti interessati in qualsiasi momento effettuare
potranno effettuare le verifiche più opportune in assoluta trasparenza.
7. Respect of user privacy: richiede agli operatori che gli interessi dei soggetti siano preminenti; approccio
user-centric.
7 PRINCIPI DELLA PRIVACY BY DESIGN
pag. 38
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
39. ING. ANDREA PRAITANOING. ANDREA PRAITANO
32MA CONFERENZA INTERNAZIONALE DELLE AUTORITÀ DI
PROTEZIONE DEI DATI
pag. 39
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
1. Recognize Privacy by Design as an essential component of fundamental privacy protection;
2. Encourage the adoption of Privacy by Design’s Foundational Principles, such as those set
out below as guidance to establishing privacy as an organization’s default mode of
operation;
3. Invite Data Protection and Privacy Commissioners/Authorities to:
a. promote Privacy by Design, as widely as possible through distribution of materials, education and personal
advocacy;
b. foster the incorporation of the Privacy by Design Foundational Principles in the formulation of privacy policy
and legislation within their respective jurisdictions;
c. proactively encourage research on Privacy by Design;
d. consider adding Privacy by Design to the agendas of events taking place on International Data Privacy Day
(January 28);
e. report back to the 33rd International Data Protection and Privacy Commissioners Conference, where
appropriate, on Privacy by Design activities and initiatives undertaken within their jurisdictions with a view to
sharing best practices.
Gerusalemme, 27-29 ottobre 2010
40. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 40
Lesson
#8
Il principio come logica è «datato», anche se adottato dalla Conferenza Mondiale dei Garanti della
protezione dei dati non se ne è vista molto traccia nei vari provvedimenti.
41. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 41
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Qual è il significato del principio?
42. ING. ANDREA PRAITANOING. ANDREA PRAITANO
CHE COSA SIGNIFICA IL PRINCIPIO COME LOGICA GENERALE?
pag. 42
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
AUTO DELL’ANNO 1992
FINALISTA 2018
Opinione
personale!
43. ING. ANDREA PRAITANOING. ANDREA PRAITANO
PARLIAMO DI UN ESEMPIO DI QUESTI GIORNI
pag. 43
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
OPPURE
?
44. ING. ANDREA PRAITANO
pag. 44
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Proviamo a guardare oltre e capiamo
come applicare il principio in concreto
45. ING. ANDREA PRAITANOING. ANDREA PRAITANO
GDPR
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione e
protezione per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei
rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.
ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
pag. 45
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
46. ING. ANDREA PRAITANOING. ANDREA PRAITANO
QUINDI COSA CI DICE LA NORMA?
pag. 46
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
…. tenendo conto dello stato dell’arte
….
…. tenendo conto …. dei costi di
attuazione ….
…. misure tecniche …. adeguate ….
…. misure organizzative …. adeguate ….
…. attuare in modo efficace i principi di
protezione dei dati ….
Che cosa significa esattamente «tenere conto
dello stato dell’arte e dei costi di attuazione»?
Quali potrebbero essere le misure tecniche e
organizzative da tenere in considerazione?
Quali sono i principi di protezione dei dati?
47. ING. ANDREA PRAITANO
pag. 47
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
48. ING. ANDREA PRAITANOING. ANDREA PRAITANO
COSA SI PUÒ INTENDERE PER STATO DELL’ARTE IN TERMINI DI
PROTEZIONE E SICUREZZA?
pag. 48
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
49. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 49
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
50. ING. ANDREA PRAITANOING. ANDREA PRAITANO
DATA BREACHES PASSATI DELLA NSA
pag. 50
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Edward Joseph Snowden.
Ex tecnico della CIA e fino al 10 giugno 2013
collaboratore della Booz Allen Hamilton
(azienda di tecnologia informatica consulente
della NSA), è noto per aver rivelato
pubblicamente dettagli di diversi programmi
di sorveglianza di massa del governo
statunitense e britannico, fino ad allora
tenuti segreti. <omissis> Snowden ha rivelato
diverse informazioni su programmi di
intelligence segretati, tra cui il programma di
intercettazione telefonica tra Stati Uniti e
Unione europea riguardante i metadati delle
comunicazioni, il PRISM, Tempora e
programmi di sorveglianza Internet.
[fonte Wikipedia]
51. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• Tutte le misure di sicurezza possono essere bypassate;
• Gli attaccanti o i «malintenzionati» non sono solo esterni ma
possono essere anche interni, persone che si conoscono e che
sono insospettabili (e che possono avere un accesso legittimo alle
informazioni);
• Gli attacchi possono essere «hybrid», sia informatici che
sociologici e fisici;
• Siamo forti quanto l’anello più debole della nostra difesa.
COSA CI RACCONTA LA STORIA DI EDWARD SNOWDEN?
pag. 51
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
52. ING. ANDREA PRAITANOING. ANDREA PRAITANO
DATA LEAKEGE HAKING TEAM
pag. 52
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Il 5 luglio 2015 l'account Twitter della società fu violato da uno
sconosciuto che pubblicò l'annuncio di una fuga di dati (data
breach) partita dai sistemi informatici di Hacking Team. Il
messaggio iniziale recitava «Visto che non abbiamo nulla da
nascondere, stiamo pubblicando tutti i nostri messaggi di posta
elettronica, file e codici sorgente…» e dava i collegamenti a
oltre 400 gigabyte di dati, tra cui asseritamente e-mail ad uso
interno, fatture e codice sorgente; il tutto propagato via
BitTorrent e Mega. L'annuncio di tale fuga (corredato di
collegamento ad un bittorrent seed), fu rilanciato su Twitter da
WikiLeaks e molti altri social media.
[fonte: Wikipedia]
53. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• L’attacco e la difesa sono due mestieri differenti;
• Anche i più bravi compiono errori (si parla di password deboli
quali 'P4ssword', 'wolverine' e 'universo’);
• Siamo forti quanto l’anello più debole della nostra difesa.
COSA CI RACCONTA LA STORIA DI HAKING TEAM?
pag. 53
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
54. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 54
Lesson
#9
La sicurezza al 100% non esiste, è solo un fattore di tempo e risorse (tecniche, skill ed
economiche). Tutto è vulnerabile e può essere violato!
Non tutti possono (e devono) mettere in piedi le stesse misure di sicurezza a protezione dei dati.
Le misure di sicurezza (soprattutto quelle tecniche) invecchiano ma, nel contempo, diventano
accessibili economicamente misure di sicurezza che prima erano costose.
55. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 55
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Non tutti hanno le stesse risorse economiche
56. ING. ANDREA PRAITANOING. ANDREA PRAITANO
VALUTAZIONE DEI COSTI DI ATTUAZIONE (1/3)
pag. 56
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Bacino di utenza circa 1.300.000 cittadini
Bacino di utenza circa 330.000 cittadini su 28 sedi differenti
Bacino di utenza circa 580.000 cittadini su 108 sedi differenti
57. ING. ANDREA PRAITANOING. ANDREA PRAITANO
VALUTAZIONE DEI COSTI DI ATTUAZIONE (2/3)
pag. 57
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
58. ING. ANDREA PRAITANOING. ANDREA PRAITANO
VALUTAZIONE DEI COSTI DI ATTUAZIONE (3/3)
pag. 58
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Non basta dire «costa troppo, non c’è budget», va documentato l’individuazione
delle necessità, la prioritizzazione delle azioni identificate e i costi relativi attraverso
indagini di mercato e, meglio ancora, Request for Proposal/Request for Interest.
Va documentato bene soprattutto se è un’azione
importante e viene deciso di non farla o
posticiparla per ragioni economiche! Vanno
documentate anche le motivazione che hanno
portato a dare le priorità fra azioni differenti.
59. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 59
Lesson
#10
Il potere economico delle organizzazioni non è per tutti uguale, le organizzazioni devono scegliere
dove orientare la spesa in sicurezza che, comunque, deve essere proporzionata alla tipologia dei
dati e quantità di dati che gestiscono ed al potere economico dell’organizzazione.
60. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 60
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Principi di protezione dei dati
61. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. I dati personali sono:
– <omissis>
f. trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»)
CAPO II PRINCIPI: ARTICOLO 5 PRINCIPI APPLICABILI AL
TRATTAMENTO DI DATI PERSONALI
pag. 61
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
62. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, che comprendono, tra le altre, se del caso:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente
fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative
al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,
conservati o comunque trattati.
SEZIONE 2: SICUREZZA DEI DATI PERSONALI
ARTICOLO 32: SICUREZZA DEL TRATTAMENTO
pag. 62
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
63. ING. ANDREA PRAITANOING. ANDREA PRAITANO
La riservatezza è il grado in cui l’accesso alle informazioni è limitato a un gruppo
preventivamente definito ed autorizzato ad avere questo accesso. Questo
include anche misure per proteggere la privacy.
RISERVATEZZA - CONFIDENTIALITY
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 63
64. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• L'accesso alle informazioni è concessa secondo il principio del need to know. Non è necessario, per esempio, per un
impiegato del dipartimento Finance essere in grado di vedere i report di discussioni con il cliente;
• I dipendenti adottano misure atte a garantire che le informazioni non possano essere viste da persone non
autorizzate. Garantiscono, ad esempio, che nessun documento riservato siano lasciati sulla scrivania mentre sono
assenti (politica scrivania pulita);
• Gestione degli accessi logici assicura che le persone o i processi non autorizzati non hanno accesso a sistemi
automatizzati, database e programmi. Un utente, ad esempio, non ha il diritto di modificare le impostazioni del PC;
• Una separazione delle funzioni si crea tra l’organizzazione di sviluppo del sistema, l’organizzazione di elaborazione e
l’organizzazione che lo utilizza. Uno sviluppatore di sistema non è in grado, per esempio, apportare modifiche per
stipendi;
• Segregazioni rigide sono create tra l’ambiente di sviluppo, l’ambiente di test e collaudo e l’ambiente di produzione;
• Nel trattamento e l’utilizzo dei dati, sono adottate misure per garantire la privacy del personale e dei terzi. Il
dipartimento delle risorse umane (HR) ha, per esempio, la propria rete che non è accessibile ad altri servizi;
• L’uso del computer da parte degli utenti finali è protetta da misure atte a garantire la riservatezza delle
informazioni. Un esempio è una password per l’accesso al computer e alla rete.
MISURE DI SICUREZZA PER GARANTIRE LA RISERVATEZZA
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 64
65. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’integrità è il grado con cui le informazioni sono aggiornate e senza errori
Le caratteristiche dell’integrità sono:
• La correttezza delle informazioni;
• La completezza delle informazioni.
INTEGRITÀ - INTEGRITY
Information and Security
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 65
66. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• I cambiamenti all’interno dei sistemi e nei dati sono sottoposti ad autorizzazione. Ad
esempio, un membro del personale inserisce un nuovo prezzo per un articolo sul sito web, e
un altro verifica la correttezza del prezzo prima della pubblicazione;
• Quando possibile, i sistemi sono costruiti in modo tale da forzare le persone ad utilizzare il
termine corretto. Ad esempio, un fornitore è sempre chiamato un «fornitore», il termine
«venditore» non può essere inserito;
• Le azioni degli utenti vengono registrate (log) in modo tale che può essere determinato chi
ha fatto la modifica delle informazioni;
• Le azioni di sistema vitali, ad esempio, l’installazione di un nuovo software, non possono
essere svolte da una sola persona. La separazione delle funzioni, le posizioni e l’autorità,
almeno due persone sono necessarie per effettuare un cambiamento che ha importanti
conseguenze;
• Il trasferimento di informazioni fra sistemi diversi include verifica dell’integrità di quanto
trasmesso. Ad esempio un sistema fa un hash del dato/file poi trasferisce i dati, all’arrivo
viene fatta una verifica dell’hash iniziale.
MISURE DI SICUREZZA PER GARANTIRE L’INTEGRITÀ
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 66
67. ING. ANDREA PRAITANOING. ANDREA PRAITANO
La disponibilità è il grado in cui le informazioni sono disponibili all’utente e al
sistema informativo nel momento in cui viene richiesto.
Le caratteristiche di disponibilità sono:
• Temporali: i sistemi informativi sono disponibili quando necessario;
• Continuità: il personale può continuare a lavorare in caso di guasto;
• Robustezza: vi è una capacità sufficiente per consentire a tutto il personale
nel sistema di lavorare.
DISPONIBILITÀ - AVAILABILITY
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 67
68. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• La gestione dello storage dei dati è tale che la possibilità di perdita di dati è minima. I dati
sono, per esempio, memorizzato su un disco di rete, non sul disco rigido del PC;
• Le procedure di backup sono impostate. Sono presi in considerazione i requisiti normativi
per quanto tempo i dati devono essere conservati. La posizione del backup è separato
fisicamente dal luogo primario al fine di assicurare la disponibilità in casi di emergenza;
• Le procedure di emergenza sono impostate per assicurare che le attività possano
riprendere non appena possibile dopo un’interruzione importante.
MISURE DI SICUREZZA PER GARANTIRE LA DISPONIBILITÀ
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 68
69. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 69
Lesson
#11
Il concetto di Riservatezza, Integrità e Disponibilità dei dati o informazioni e come si possono
andare a proteggere questi aspetti esiste da tempo, esiste quindi uno storico di misure di sicurezza
da cui attingere.
70. ING. ANDREA PRAITANOING. ANDREA PRAITANO
La resilienza è la capacità di un sistema di adattarsi al cambiamento:
• In informatica, la resilienza è la capacità di un sistema di adattarsi alle
condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità
dei servizi erogati.
• In psicologia, la resilienza è la capacità di far fronte in maniera positiva agli
eventi traumatici.
• Nel risk management, la resilienza è la capacità intrinseca di un sistema di
modificare il proprio funzionamento prima, durante e in seguito ad un
cambiamento o ad una perturbazione, in modo da poter continuare le
operazioni necessarie sia in condizioni previste che in condizioni
impreviste.
RESILIENZA - DEFINIZIONE
pag. 70
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Fonte: Wikipedia
71. ING. ANDREA PRAITANOING. ANDREA PRAITANO
RESILIENZA (1/5)
pag. 71
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
L’approccio odierno è basato sull’analisi del rischio: minacce, probabilità,
impatto, rischio
Ci basiamo sulla
che abbiamo vissuto e che conosciamo
SU COSA CI BASIAMO?
Opinione
personale!
72. ING. ANDREA PRAITANOING. ANDREA PRAITANO
RESILIENZA (2/5)
pag. 72
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
COSA CI TROVEREMO AD AFFRONTARE?
Servirebbe la sfera di cristallo
per organizzarsi nel modo
corretto!
Quale sarà la prossima minaccia a cui dovremo andare a rispondere?
…………….
Opinione
personale!
73. ING. ANDREA PRAITANOING. ANDREA PRAITANO
RESILIENZA (3/5)
pag. 73
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
COSA CI TROVEREMO AD AFFRONTARE?
Servirebbe la sfera di cristallo
per organizzarsi nel modo
corretto!
Purtroppo potrebbe essere ognuna di questa, più di una,
nessuna o anche qualche cosa di nuovo che non possiamo
immaginare.
Quindi come ci organizziamo? Mettiamo in piedi un Incident
Response Team o un Intrusion Detector?
Opinione
personale!
74. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• Gli strumenti sono «rigidi», lavorano secondo delle regole. Se si esce dalle regole che gli sono state
date, per quanto «intelligenti», non sanno cosa fare;
• Le persone (competenti) sono agili, le persone sanno reagire ed adattarsi. Sanno usare le loro
competenze in circostanze non note a priori, sanno riconoscere similitudini;
• Le persone (competenti e non) posso, però, essere confuse, impaurite ed ingannate dai
malintenzionati.
• Adottiamo i nuovi modelli di analisi dei rischi che aiutano a gestire le incertezze.
• Bisogna investire sulle competenze delle persone!
• Formare le persone sia da un punto di vista metodologico che tecnologico;
• Bisogna conoscere bene la propria organizzazione sia da un punto di vista organizzativo sia dal punto
di vista tecnologico per sapere come reagirà in quelle circostanze;
• …….l’agilità però non significa anarchia, ma deve esserci una testa che dirige l’«orchestra»
RESILIENZA (4/5)
pag. 74
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
COME FACCIAMO A ESSERE AGILI?
QUINDI?
Opinione
personale!
75. ING. ANDREA PRAITANOING. ANDREA PRAITANO
RESILIENZA (5/5)
pag. 75
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
COME FACCIAMO A ESSERE AGILI?
Pensiamo e organizziamoci come un ospedale con strutture di prevenzione, cura quotidiana
ed anche con un pronto soccorso in grado di affrontare e rispondere a ogni evenienza e
lavorano in sinergia con le altre strutture per accedere alle loro competenze specialistiche
quando necessario.
+
Opinione
personale!
76. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 76
Lesson
#12
Le organizzazioni per essere resilienti possono adottare diversi approcci, probabilmente le persone
sono quelle più flessibili e agili. Un modo per gestire l’ignoto è puntare sulle competenze delle
persone.
77. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 77
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Esempi di Misure Organizzative
78. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• Definizione di un organigramma per la protezione dei dati;
• Formalizzazione dei ruoli interni (addetti al trattamento dei dati personali);
• Formalizzazione dei ruoli esterni (Responsabili del Trattamento);
• Definizione delle responsabilità (e “poteri”) del Data Protection Officer e sua nomina;
• Definizione della procedura di escalation interna di un data breach;
• Definizione di una Policy di Protezione dei Dati Personali;
• Definizione di un set di “Data Protection Management System” similare ad un ISMS ISO/IEC 27001;
• Definizione di processi e procedure di gestione ed approvazione (ad es. processi ITIL);
• Definizione di clausole contrattuali standard ed ad-hoc per i fornitori esterni sulla Protezione dei dati;
• Definizione di un processo di acquisizione del consenso;
• ……….
ESEMPI DI MISURE DI SICUREZZA ORGANIZZATIVE
pag. 78
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
79. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 79
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Esempi di Misure tecniche
80. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• Encryption dei dati;
• Firewall perimetrali;
• Badge visitatori;
• Segregazione delle reti attraverso VLAN;
• Utilizzo di una rete guest WiFi per gli ospiti;
• Distruggidocumenti;
• Inferiate;
• Porte blindate;
• Controllo accessi;
• Controllo accessi a più fattori;
• Videosorveglianza;
• Antivirus/antimalware;
• Firewall applicativi;
ESEMPI DI MISURE DI SICUREZZA TECNICHE
pag. 80
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
• Vulnerabili Assessement;
• Penetration Test;
• Verifiche integrità dei dati;
• SIEM;
• DLP;
• Sonde;
• NAC;
• Vigilanza;
• Code review;
• PGP;
• Log Collector;
• Patching;
• …….
81. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 81
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Praticamente come si può fare?
82. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. L’organizzazione svolge una serie di attività, solo una parte di queste includono il
trattamento di dati personali;
2. L’organizzazione identifica:
i. la lista dei trattamenti che svolge nel complesso;
ii. la criticità degli stessi secondo la WP 248 rev.01;
3. Effettua il Data Protection Impact Assessment sui trattamenti critici;
4. Passa alla progettazione del Trattamento e dei sistemi ad esso connessi:
i. effettua un’analisi dei rischi per comprendere le possibili minacce interne e/o esterne a cui
può essere soggetto e identifica le misure di sicurezza necessarie;
ii. definisce le verifiche di sicurezza in corso di sviluppo che devono essere effettuate;
iii. valuta i risultati delle verifiche di sicurezza;
iv. effettua un collaudo di sicurezza prima della messa in esercizio.
CONSIDERAZIONE GENERALE
pag. 82
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
83. ING. ANDREA PRAITANOING. ANDREA PRAITANO
PRINCIPI FONDAMENTALI RELATIVI ALLA VALUTAZIONE D'IMPATTO
SULLA PROTEZIONE DEI DATI
pag. 83
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
84. ING. ANDREA PRAITANOING. ANDREA PRAITANO
IN PRATICA COSA SI FA? (1/3)
pag. 84
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Denominazione
trattamento
Tipologia del
trattamento
Descrizione trattamento Responsabilità legate al trattamento
Strutture coinvolte nella
gestione del trattamento
Tipologia di dati trattati
Data inizio
trattamento
Data di fine
trattamento
Criticità
(SI/NO)
Motivazione se non critica
Gestione del personale Titolare
Il Trattamento è relativo alla
gestione delle informazioni del
personale dipendente di
ORGANIZZAZIONEdal momento
dell'assunzione fino al momento
del termine volontario o coatto del
rapporto di lavoro.
Il Trattamento include la gestione della formazione del personale
dipendente per le diverse tematiche generali all'organizzazione (ad
es. sicurezza sul luogo di lavoro). Il Trattamento include la
gestione e pianifcazione delle visite mediche di sorveglianza dei
lavoratori ma non le relative cartelle cliniche che sono mantenute
da parte del medico competente. Il Trattamento gestisce anche le
informazioni relative alle presenze ed assenze ordinarie (ferie e
permessi) che quelle non ordinarie (malattie, assenze
ingiustificate, accesso a permessi Legge 104, ecc.). Il Trattamento
gestisce anche dati sensibili derivanti da certificati medici che
attestano riduzione temporanea o permanente delle capacità
lavorative del personale dipendente.
• Direzione risorse umane
• Gestione dei sistemi informativi
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• Codice Fiscale
• fotografie
• numeri di matricola
• numeri telefonici
• indirizzi email
Dati Sensibili:
• appartenenza a categorie protette
• iscrizione a sindacati
• malattie
• limitazioni fisiche temporanee e/o permanenti
Dati giudiziari:
• pignoramento quinto dello stipendio
Pre-esistente al
25/05/2018
In corso SI
Amministrazione e
contabilità
Titolare
Il Trattamento è relativo alla
gestione amministrativa e
contabile dell'ORGANIZZAZIONE.
Il Trattamento include la gestione amministrativa e contabile di
ORGANIZZAZIONE, il Trattamento gestisce anche il compenso del
personale del Consiglio di Amministrazione e i relativi dati
necessari.
• Amministrazione
• Gestione dei sistemi Informativi
Dati di entità giuridiche:
• Ragione sociale
• partita IVA
• indirizzo
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• numeri telefonici
• indirizzi email
Pre-esistente al
25/05/2018
In corso NO
Sono gestiti prevalentemente dati di entità
giuridiche, i dati personali presente nel
trattamento sono i riferimenti di persone
fisiche e comunque dati personali
classificabili come comuni (nome, cognome,
numero di telefono aziendale, numero
cellulare aziendale, indirizzo mail, ecc.).
Videosorveglianza Titolare
Il Trattamento è relativo al
servizio di videosorveglianza
delle sedi e dei magazzini.
Il Trattamento include la gestione del servizio di video sorveglianza
delle sedi di ORGANIZZAZIONE. Il Trattamento include sia la
sorveglianza esterna alle sedi che quella interna su alcune punti
ritenuti critici.
• Direzione dei Sistemi
Informativi
Dati personali indiretti:
• immagini
• video
Dati sensibili (potenziali):
• stato di salute
• razza/etinia
• fede religiosa
Pre-esistente al
25/05/2018
In corso SI
Sicurezza fisica e gestione
accessi
Titolare
Il Trattamento è relativo alla
gestione della sicurezza fisica
della sede ORGANIZZAZIONE
nonché degli ingressi presso la
sede.
Il Trattamento include la sicurezza fisica perimetrale della sede
ORGANIZZAZIONEe la gestione degli accessi del personale non
dipendente presso la sede ORGANIZZAZIONE.
•
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• numero documento di identità
• documento di identità
Pre-esistente al
25/05/2018
In corso NO
Sono gestiti prevalentemente dati personali
classificabili come comuni (nome, cognome,
ecc.). I documenti di identità sono presi solo
in visione.
…… …. … …. … … … … … …
Opinione
personale!
85. ING. ANDREA PRAITANOING. ANDREA PRAITANO
IN PRATICA COSA SI FA? (2/3)
pag. 85
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
86. ING. ANDREA PRAITANOING. ANDREA PRAITANO
IN PRATICA COSA SI FA? (3/3)
pag. 86
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
87. ING. ANDREA PRAITANOING. ANDREA PRAITANO
NOTA IMPORTANTE
pag. 87
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
QUANDO SI EFFETTUA UNA DPIA IL PUNTO DI
VISTA È L’INTERESSATO, NON L’ORGANIZZAZIONE!
Ad es.: perdita di immagine dell’organizzazione, perdita
economica dell’organizzazione o altro non sono
aspetti da prendere in considerazione nella DPIA
88. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• I trattamenti non critici non devono avere misure di sicurezza tecniche ed organizzative?
– Beh, tutto deve avere un battente minimo di misure di sicurezza, tutto deve essere protetto;
• Ogni trattamento e ogni sistema di supporto ha misure di sicurezza tecniche ed
organizzative diverse e pensate ad hoc per loro?
– In parte si, ma ci sono sicuramente delle misure di sicurezza aggiuntive comuni a più trattamenti e sistemi.
Qualcuno potrà necessitare di misure ad hoc, ma non è la regola;
• Le misure di sicurezza tecniche e organizzative dipendono dalla forma dei dati personali?
– Sicuramente si, un conto è proteggere dati in formato digitale e un conto è se sono in forma cartacea;
• Hanno una diversa robustezza in funzione della forma di conservazione?
– In termini di robustezza devono essere equivalenti, in forma diversa ma equivalente poiché il dato da
proteggere è lo stesso;
• I servizi di supporto alla gestione ICT (ma non solo) sono trasversali?
– Ci sono una serie di servizi (e misure di sicurezza) trasversali.
RIFLESSIONI
pag. 88
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Opinione
personale!
89. ING. ANDREA PRAITANOING. ANDREA PRAITANO
1. Esistono un insieme di misure di sicurezza tecniche e organizzative generali
che sono di base per tutti i trattamenti di dati personali e non;
2. Esistono dei trattamenti (o gruppi di trattamenti) di dati personali che
necessitano di misure di sicurezza tecniche e/o organizzative
supplementari e dipendono dalla criticità che hanno;
3. Vanno considerate diverse tipologie di minacce e di scenari per definire la
protezione dei trattamenti e dei relativi dati personali.
CHE COSA DICE L’ESPERIENZA?
pag. 89
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Opinione
personale!
90. ING. ANDREA PRAITANOING. ANDREA PRAITANO
LOGICA DELLE MISURE SI SICUREZZA
pag. 90
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
TRATTAMENTO1
TRATTAMENTO2
TRATTAMENTO3
TRATTAMENTON
……………DELTA 1
DELTA 2
DELTA N
MISURE DI SICUREZZA GENERALI A TUTTA L’ORGANIZZAZIONE
(ANCHE SENZA DATI PERSONALI)
MISURE DI SICUREZZA GENERALI A TUTTA
L’ORGANIZZAZIONE SUI TRATTAMENTI CHE GESTISCONO
DATI PERSONALI
DELTA A
DELTA B
Opinione
personale!
91. ING. ANDREA PRAITANOING. ANDREA PRAITANO
MISURE DI SICUREZZA GENERALI A TUTTA L’ORGANIZZAZIONE
pag. 91
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
ORGANIZZATIVETECNICHE
NON IT IT
PRIVACY POLICY
SISTEMA DI GESTIONE PER
LA PROTEZIONE DEI DATI
PROCESSO PRIVACY
DATA BREACH IDENTIFICATION,
ESCALATION E NOTIFICATION
PROCESSO/I PER DIRITTI
INTERESSATO
………..
SICUREZZA PERIMETRALE
SEPARAZIONE DELLE RETI
ANTIVIRUS/ANTIMALWARE
ANTISPAM
MONITORING
ACCESS MANAGEMENT
PATCH MANAGEMENT
……...
CONTROLLO ACCESSI
PORTE
ARMADI
BADGE
ANTINCENDIO
………
Opinione
personale!
92. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 92
Lesson
#13
Probabilmente nelle organizzazioni esistono delle misure di sicurezza generalizzate a tutta
l’organizzazione, quindi si può ragionare per delta aggiuntivi sui trattamenti che li richiedono
oppure per fasce.
93. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 93
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Processo di progettazione del trattamento
94. ING. ANDREA PRAITANOING. ANDREA PRAITANO
POSSIBILI SITUAZIONI
pag. 94
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Nuovo trattamento
Trattamento esistente
95. ING. ANDREA PRAITANOING. ANDREA PRAITANO
NUOVO TRATTAMENTO
pag. 95
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
96. ING. ANDREA PRAITANOING. ANDREA PRAITANO
COME SI PUÒ FARE IN PRATICA?
pag. 96
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Baseline S05
System
Security
Protezione dei
flussi di
comunicazione
esterni
S
Tutti gli accessi e/o i flussi di comunicazione da e verso l'esterno (ad es. verso Partner o Customer) devono utilizzare canali di
comunicazione sicura e/o cifrata (ad es. SFTP, FTPS, https, VPN, ecc.).
Tutti i portali accedibili dall'esterno devono utilizzare protocolli di comunicazione cifrata (ad es. https/TLS, ecc.).
Policy interna Utilizzo di flussi cifrati per le comunicazioni verso l'esterno.
Baseline S06
Data
protection
Data Security in
Testing
S
I dati presenti sui sistemi dell'ambiente di produzione/live devono essere separati dai dati utilizzati per il test o di sviluppo.
In tutti gli ambienti non di produzione, dati personali degli utenti non devono essere utilizzati, a meno che i dati siano
adeguatamente protetti.
In particolare, se sono necessari dati "live", devono essere attuate misure idonee al fine di mascherare / anonimizzare i dati
personali degli utenti (in modo tale che la persona interessata non può essere identificata).
Policy interna Separazione dei dati fra ambiente di produzione e
ambiente di test.
Baseline S07 Logging Audit Log S
Le componenti del sistema (OS, DB, applicativo, etc.) devono essere integrate con QRadar per l'invio dei log.
• OS e applicativo: login, logout, login-failed;
• DB: login, logout, login-failed, admin activity.
All.B D. Lgs. 196 Attivazione collezionamento ed audit log su Qradar
Portali S09 Access Control
Anti bot form
(captcha)
S
Tutte le form esposte verso l'esterno ai clienti che richiedono il riempimento dei campi devono essere protetti con CAPTCHA per
evitare attacchi bot al fine di evitare attacchi SPAMo DoS.
Policy interna Attivazione della funzionalità CAPTCHA su tutte le form
esposte verso l'esterno.
Portali S11
System
Security
Secure Cookie
Policy
S
Tutti i cookie utilizzati per tracciare le sessioni, devono essere protetti attraverso il settaggio dei seguenti attributi:
• HTTPOnly attribute;
• Secure attribute, per la gestione dei cookie soltanto attraverso connessioni sicure (ad es. SSL).
Policy interna Attivazione degli attributi HTTPOnly and Secure su tutti i
webserver.
Delivery
nuovo HW
S12
System
Security
Hardening, patching
e VA
S
Le diverse componenti del nuovo sistema (OS, DB e Middleware) devono essere:
• sottoposti ad hardening secondo la specifica checklist di security;
• aggiornati all'ultimo livello di patch disponibile da parte del produttore.
I nuovi server devono essere sottoposti a Vulnerability Assessment.
All.B D. Lgs. 196
Policy interna
Esecuzione, prima del go-live, dell'hardening sui sistemi,
aggiornamento all'ultimo livello di patch disponibile e
report di scansione senza vulnerabilità segnalate ovvero
piano di rientro delle vulnerabilità segnalate.
Delivery
nuovo HW
S13
System
Security
Antivirus /
Antimalware
Protection
S
Sui server Windows deve essere attivato un sistema di protezione Antivirus/antimalware connesso alla console centrale per gli
aggiornamenti.
All.B D. Lgs. 196 Installazione agent antivirus sui server Windows ed
integrazione con la console centrale per gli aggiornamenti
periodici.
Nuovi
rilasci SW
S14
System
Security
Secure SW
Developement
S
Le attività di sviluppo devono essere effettuate seguendo la policy di sviluppo sicuro del software (S-SDL) e le checklist di secure
coding relative ai linguaggi di programmazione utilizzati.
Devono essere previste misure per la gestione sicura del codice sorgente, che è accessibile dal solo personale autorizzato (ad es.
repository SVN) e, in caso accessi dall'esterno, protetto tramite whitelist FW o VPN.
Policy interna n.a.
Nuovi
rilasci SW
S15
System
Security
SAST S
I nuovi rilasci software devono essere sottoposti a scansione statica del codice sorgente (SAST) al fine di individuare e sanare
eventuali vulnerabilità prima del rilascio in esercizio.
Policy interna Report di scansione senza vulnerabilità segnalate ovvero
piano di rientro delle vulnerabilità segnalate.
Nuovi
rilasci SW
S16
System
Security
DAST S
Sulle interfacce applicative/portali web (ad es. front end web, console, msite, ecc.) deve essere effettuata una scansione dinamica
(DAST), con una successiva eventuale attività di mitigation per le vulnerabilità a più alta criticità riscontrate.
Policy interna Report di scansione senza vulnerabilità segnalate ovvero
piano di rientro delle vulnerabilità segnalate.
Dati critici S17
Data
protection
Data Encryption S
I sistemi che conservano dati "critici" (ad es. dati sensibili, dati bancari, PIN, ecc.) devono implementare controlli di cifratura dei dati
(a livello OS/DB/applicativo) per garantirne la riservatezza delle informazioni.
Deve essere previsto una gestione sicura delle chiavi crittografiche (tale per cui la chiave sia conosciuta da un solo soggetto e
conservata in modo sicuro).
Policy interna Attivazione dei controlli di cifratura.
Dati critici S18
Data
protection
Data Integrity S
I sistemi che conservano dati "critici" (ad es. audit log, giocate, estrazioni, ecc.) devono implementare controlli di integrità/firma (ad
es. attraverso l'utilizzo di hashing, trusted timestamp, sistemi di controllo/monitoraggio dell'integrità dei file, ecc.).
Policy interna Attivazione dei controlli di integrità/firma.
Dati critici S19 Access Control
Strong
Authentication
S
L'accesso a dati critici (ad es. dati sensibili, dati di business, estrazioni, vincite, ecc.) deve essere protetto da sistemi di strong
authentication (basata su due fattori).
Policy interna Attivazione del sistema di accesso attraverso strong
authentication in ambiente di collaudo e di produzione.
Sorgente del req. Criterio di accettazioneCHL Id Ambito Req.
Requisito
(nome breve per
Requisito)
Class. Descrizione
Opinione
personale!
97. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Opinione
personale!
NUOVO TRATTAMENTO
pag. 97
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
98. ING. ANDREA PRAITANOING. ANDREA PRAITANO
NUOVO TRATTAMENTO
pag. 98
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Identificazione
dei rischi
Analisi dei
rischi
Valutazione dei
rischi
Trattamento
dei rischi
MINACCE SCENARI DI
ATTACCO
REQUISITI DI
SICUREZZA
VERIFICHE DI
SICUREZZA
PROTEZIONE DEI DATI
+
SICUREZZA (ORGANIZZAZIONE)
Opinione
personale!
99. ING. ANDREA PRAITANOING. ANDREA PRAITANO
REQUISITI DI SICUREZZA IN CONCRETO
pag. 99
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Id. SEC.REQ.1. Flow encryption
Scope Production Environment – Flow between all Components
Impacted Components: All
Name Flow encryption
Classification S (Security)
Description The flow of personal data between each components need to be
managed with encrypted data transmission protocols require an
encryption, with a minimum key length of 256 bit and the use of
certificates of trusted certification organizations.
In asymmetric exchange of data (e.g. by an xml file stored in a
repository) have to be used an equivalent protection of
confidentiality of the data (e.g. by and public and private keys).
Ownership The ownership for the definition of the technical solution for this
requirement is in charge of the Design team and each partner for its
ownership(s).
Checks TBD
Notes When the data exchanged is:
a common data (not personal or sensitive data); or
an anonymized personal data;
this requirement could be avoid.
Id. SEC.REQ.1. System to system authentication
Scope Production Environment – Flow between all Components
Impacted Components: All
Name Authentication
Classification S (Security)
Description The communication between different components of the Platform
have to happen only by a mutual authentication between
components.
Introduce the control that the component of the system could
receive the data only from trusted source/s (e.g. authorized IP for
the connection)
Ownership The ownership for the definition of the technical solution for this
requirement is in charge of the Business-e and the design team each
partner for its ownership(s).
Checks TBD
Notes When the data exchanged is a common data (not personal or
sensitive data) this requirement could be avoid.
Opinione
personale!
100. ING. ANDREA PRAITANOING. ANDREA PRAITANO
REQUISITI DI SICUREZZA IN CONCRETO
pag. 100
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Id. SEC.REQ.1. Security logging for insider
Scope Production Environment – All new management / Back Office
consoles accessible by the insiders
Impacted Components: TBD
Name Security Logging for insider
Classification S (Security)
Description All component have to be configure for trace and send logs to a
specific SIEM or Log Collector (not included into Platform).
In details, it’s required that the SW Platforms provides the following
type of logs:
Login successful
Login failed
Logout
Ownership TBD
Checks TBD
Notes The implementation of this security requirement could be changed
with a temporary solution (e.g. local logging of the OS, Database,
etc.) for the TRL 7 version.
When the data exchanged is a common data (not personal or
sensitive data) this requirement could be avoid.
Id. SEC.REQ.1. Penetration testing
Scope SELIS Platform and Living labs
Impacted Components: TBD
Name Penetration Testing
Classification S (Security)
Description The final version of the platform has to test with a
Penetration Test and Vulnerability Assessment.
Ownership TBD
Checks TBD
Notes The scope and the attack(s) scenario will be define before the
testing.
Opinione
personale!
101. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Source code
Detailed Design
specification
General Design
specification
SVILUPPO DEL TRATTAMENTO E DEI SISTEMI
pag. 101
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
SVILUPPO A CASCATA
Requisiti
Funzionali
Infrastrutturali
Sicurezza
Protezione dati
TESTING
Static code
review
Quality
assurance and
testing
Dynamic code
review
Unit testing
Infrastructure
testing
Component
testing
Penetration
testing
Acceptance
testing
Opinione
personale!
102. ING. ANDREA PRAITANOING. ANDREA PRAITANO
GO LIVE DEL TRATTAMENTO
pag. 102
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
PRIMA DEL GO-LIVE SI PUÒ INSERIRE
UN CONTROLLO «FRONTALIERO» CHE
MIRA A VERIFICARE CHE TUTTO
QUELLO CHE DOVEVA ESSERE FATTO
PRIMA DELLA MESSA IN ESERCIZIO È
STATO EFFETTIVAMENTE FATTO.
Opinione
personale!
103. ING. ANDREA PRAITANOING. ANDREA PRAITANO
TRATTAMENTO ESISTENTE
pag. 103
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Cambiamento importante sul
trattamento
Verifica periodica o piccoli
cambiamenti sul trattamento
Progettazione
secondo DPbD
Nuova DPIA o analisi
DPIA produttore
Audit di sicurezza
Vulnerability Assessment
Penetration test
Gestione dei
rientri
Verifica
risoluzioni
Verifiche di sicurezza
Opinione
personale!
104. ING. ANDREA PRAITANOING. ANDREA PRAITANO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 104
Lesson
#14
La Data Protection by Design può essere vista come un processo con varie opzioni che hanno lo
scopo di «pensare in sicurezza» i sistemi oltre a quello di «metterli e mantenerli in sicurezza» nel
tempo.
105. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 105
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Considerazioni generali sulla sicurezza
106. ING. ANDREA PRAITANOING. ANDREA PRAITANO
La sicurezza è un processo continuo, bisogna pensare ad uno sviluppo
sicuro!
Misure di sicurezza
pensate per
tempo!
PREVEDERE VERIFICHE DI SICUREZZA CONTINUA IN FASE DI
PROGETTAZIONE E DI SVILUPPO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 106
Opinione
personale!
107. ING. ANDREA PRAITANOING. ANDREA PRAITANO
Gli hacker vedono da un punto di vista differente le cose, la sicurezza
va provata «sul campo»!
Misure di sicurezza
adeguate!
PREVEDERE TEST DI SICUREZZA
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 107
Opinione
personale!
108. ING. ANDREA PRAITANOING. ANDREA PRAITANO
I dati hanno un valore sul “mercato”, perché complicarsi la vita e
gestire dati non necessari alle funzionalità dei sistemi?
Fonte: Trendmicro
Meno misure di
sicurezza
necessarie!
DESENSIBILIZZARE I SISTEMI, GESTIRE SOLO I DATI PERSONALI
NECESSARI
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 108
Opinione
personale!
109. ING. ANDREA PRAITANOING. ANDREA PRAITANO
I requisiti e le funzionalità di sicurezza vanno di pari passo con i
requisiti funzionali e le funzionalità, implementare dopo la sicurezza
costa di più ed è meno efficace!
Misure di sicurezza
pensate per
tempo!
Sviluppo a cascata tradizionale
Funzionali
Infrastrutturali
Sicurezza
Sicurezza
Sviluppo agile
DEFINIRE I REQUISITI DI SICUREZZA IN FASE INIZIALE DEL PROGETTO
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO pag. 109
Opinione
personale!
110. ING. ANDREA PRAITANOING. ANDREA PRAITANO
COSTI RISOLUZIONE PROBLEMATICHE DI SICUREZZA (NIST/AGID)
pag. 110
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
111. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 111
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Conclusioni del Seminario
112. ING. ANDREA PRAITANOING. ANDREA PRAITANO
• L’applicazione reale del Principio di Data Protection by Design non è così
chiaro, ad oggi non ci sono molti dettagli e opinion del WP29 sul tema;
• La sicurezza al 100% non esiste ed è solo utopia;
• Ogni organizzazione deve pensare alle misure di sicurezza giuste per se
stessa (accountability);
• Il Data Protection by Design può essere visto come un processo;
• Esistono standard e best practices ampie sulla sicurezza delle informazioni a
cui poter attingere per fare bene la protezione dei dati.
• …..ricordate le varie «lesson»
CONCLUSIONI SUL MODULO
pag. 112
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
113. ING. ANDREA PRAITANOING. ANDREA PRAITANO
pag. 113
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Imparare a implementare la
conformità alla protezione dei dati è
un po’ come imparare a fare il
genitore, lo si impara strada facendo
….e ogni figlio è diverso dall’altro.
(Andrea Praitano)
114. ING. ANDREA PRAITANO
pag. 114
L’INGEGNERE PER LA PROTEZIONE DEI DATI PERSONALI ALLA LUCE DELLA NUOVA NORMATIVA EUROPEA
2016/679 – GDPR - (C) ANDREA PRAITANO - VIETATO L'USO
Andrea Praitano
andrea.praitano@gmail.com
@apraitano
+39 328 8122642
it.linkedin.com/in/andreapraitano/
Commissione Sicurezza informatica
Editor's Notes
Partiamo dalla protezione dei dati personali pensando principalmente alle regole che verranno, quindi al nuovo framework Europeo sulla privacy.
Il Framework Europeo sulla protezione dei dati è articolato e, al contrario di quanto molti pensano, chiaro ed univoco a livello europeo.
Spieghiamo meglio questo concetto. Lo scorso 27 aprile il Parlamento Europeo e la Commissione Europea dopo una lunga gestazione ha approvato un regolamento ed una direttiva, nello specifico:
Il Regolamento (UE) 2016/679 (noto anche come GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE;
La Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
Il primo è il regolamento generale sulla protezione dei dati, mentre il secondo è specifico per i dati giudiziari. Primo aspetto importante, il primo è un regolamento quindi non deve essere tradotto in legge nazionale da nessuno dei 28 paesi membri ed entrerà in vigore a maggio del 2018. La seconda è una Direttiva, quindi deve essere recepita dagli stati membri dell’Unione.
Queste due sono state approvate di fatto congiuntamente infatti sono due provvedimenti conseguenti (679 e 680) e sono stati approvati nella medesima seduta, anche se ovviamente con due voti separati.
A queste si aggiunge la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) che continua ad essere valida.
Qui nasce una «complicazione», la Direttiva 95/46/CE era stata recepita dall’Italia prima con la Legge 675/96 e poi con il DLgs 196/2003 (che abrogava la 675/96). Però il DLgs 196/2003 ha recepito sia la Direttiva 95/46/CE (che verrà abrogata dal GDPR) che la Direttiva 2002/58/CE che invece continua a restare valida. Ci troviamo quindi in una situazione in cui non è detto che tutto il DLgs 196/2003 verrà abbrogato.
Tornando alla protezione dei dati personali, questa si compone di cinque pilastri:
Il primo pilastro fondamentale è il principio del Data Protection by design, significa che la protezione dei dati non è un qualche cosa che viene in un secondo momento ma nasce con il servizio o il prodotto stesso.
Il secondo pilastro è il Data protection by default, questo significa che bisogna tutelare il cittadino, di default i sistemi devono prevedere la situazione più cautelativa per il cittadino, quella a lui più favorevole.
Il terzo pilastro è il prevedere misure di sicurezza idonee ed allineate allo stato dell’arte attraverso l’effettuazione di un’analisi del rischio per identificare le misure di sicurezza.
Il quarto pilastro è la figura del DPO.
Il quinto pilastro è la trasparenza che le organizzazioni devono avere con i cittadini (che, è sempre opportuno ricordare, sono i proprietari dei dati personali) e l’obbligo di comunicazione dei Data breach sia verso i cittadini che verso l’autorità garante della protezione dei dati personali.
Il concetto di Data Protection by Design nasce diversi anni fa dal Garante Canadese ed è stata adottata dalla conferenza dei Garadti della protezione dei dati.
Il principio iniziale si compone di questi sette principi.
La sicurezza è un processo continuo, bisogna pensare ad uno sviluppo sicuro. Molto spesso tante vulnerabilità possono essere risulte in modo molto semplice in fase di sviluppo semplicemente adottando una buona pratica di sviluppo sicuro.
Bruce Schneier in un post sul suo blog scriveva:
«La sicurezza richiede una particolare mentalità. I professionisti della sicurezza - almeno quelli buoni - vedono il mondo in modo diverso. Non possono entrare in un negozio senza accorgersi di come si potrebbe rubare. Non possono utilizzare un computer senza chiedersi le vulnerabilità di sicurezza. Non possono farne a meno!»
La sicurezza al 100% non esiste, qualsiasi sistema può essere violato se l’attaccante dispone dei mezzi e del tempo necessario; per questo la sicurezza va testata sul campo, solo così possiamo essere relativamente sicuri di avere un buon livello di «inviolabilità» dei nostri sistemi.
Oggi sempre di più i dati hanno un valore. Se si va sul black market si possono acquistare sia oggetti illegali come droga e armi ma anche dati. Si possono acquistare dati di cartelle cliniche rubate, carte di credito, username e password, indirizzi mail, ecc.
Un raccomandazione data dal GDPR, che comunque sarebbe una buona pratica da adottare sempre, è quella di gestire i dati strettamente necessari alle attività. Meno dati sono presenti, meno critico sarà il sistema e quindi meno misure di sicurezza si dovranno adottate. Possiamo anche aggiungere che meno misure di sicurezza significa meno soldi spesi.
Bisogna integrare la sicurezza pensando al modello Toyota, dedicare più tempo alla progettazione pensando a tutti gli aspetti ivi inclusa la sicurezza!
Come si definiscono i requisiti funzionali ed infrastrutturali nello stesso momento devono essere definiti i requisiti di sicurezza. In questo modo la sicurezza sarà intrinseca nel sistema non un semplice, e spesso meno efficace, add-on.
Questo può essere fatto indipendentemente dall’approccio utilizzato per lo sviluppo, a cascata o agile che sia.