2. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
1. tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della
natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche
del rischio di varia probabilità e gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile del trattamento mettono in
atto misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati
personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
3. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
a) pseudoanonimizzazione e cifratura
• creare degli pseudonimi dei dati;
• la cifratura non è una misura “nuova”…... (rif. d.lgs.196/2003)*;
• pseudoanonimizzazione e cifratura: da valutare caso per caso i rischi
e attuare dette misure per limitare i rischi;
• effettuare prima l’analisi dei rischi e poi prevedere in base all’analisi
misure di pseudoanonimizzazione e cifratura.
*Provvedimento 8 aprile 2010
.....f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da
apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche
crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la
trasmissione di immagini da punti di ripresa dotati di connessioni wireless (tecnologie wi-
fi, wi-max, Gprs).
…..
4. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
b) la capacità di assicurare su base permanente la riservatezza, l’integrità,
la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
resilienza: capacità di reazione di un sistema a fronte di eventi che mettono a
rischio la sicurezza dei dati trattati dallo stesso.
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei
dati personali in caso di incidente fisico o tecnico;
tempestivamente vs non superiori a sette giorni
punto 23 Allegato B al d.lgs.196/2003
….. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in
caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori a sette giorni……
5. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
d) una procedura per testare, verificare e valutare regolarmente
l’efficacia delle misure tecniche e organizzative al fine di garantire la
sicurezza del trattamento”.
à AUDIT
à ACCOUNTABILITY
Prima invece le procedure….
d.lgs.19/2003 – Art. 34 comma-1 lett b)
adozione di procedure di gestione delle credenziali di autenticazione.
d.lgs.19/2003 – Art. 34 comma-1 lett f)
adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi.
6. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati dal trattamento che derivano in particolare dalla distruzione,
dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in
modo accidentale o illegale, a dati personali trasmessi, conservati o comunque
trattati.
Prendiamo la definizione di misure idonee (o adeguate) dal d.lgs.196/2003
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
IL LIVELLO DI SICUREZZA E’ ADEGUATO QUANDO
PERMETTE DI MINIMIZZARE I RISCHI DI
• distruzione;
• perdita totale o parziale;
• accesso non autorizzato;
• trattamento non consentito o non conforme alle finalità della raccolta dei dati personali;
7. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di
certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per
dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
Mediante l’adesione a codici di condotta o meccanismi di certificazione
si può dimostrare la conformità ai requisiti del paragrafo 1.
8. Regolamento UE 2016/679
Articolo 32
Sicurezza del trattamento
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che
chiunque agisca sotto la loro autorità e abbia accesso a dati personali
non tratti tali dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Il titolare e il responsabile devono assicurare che chiunque tratti dati in nome e per conto del
titolare agisca mediante istruzioni precise su come trattare gli stessi.
Come devono agire titolare e responsabile?
• istruzioni operative a chi tratta i dati (meglio scritte, controfirmate e comprese);
• istruzioni operative a chi tratta i dati in merito a specifici trattamenti (es. marketing,
videosorveglianza ecc.);
• formazione delle figure previste dalla norma.
Il principio è…..
…..non posso dire che sbagli se non ti dico che cosa è giusto/sbagliato fare…..
10. MANTENERE SICURI I NOSTRI DATI
Autenticazione a 2 fattori
Cifratura dei dischi
Trasmissione sicura dei dati
Applicativi Sicuri
11. MANTENERE SICURI I NOSTRI DATI
AUTENTICAZIONE A 2 FATTORI
“…quello che ho in testa unito a quello che ho in tasca….”
• token;
• telefono cellulare e sms;
• chiavetta usb con funzionalità avanzate.
12. MANTENERE SICURI I NOSTRI DATI
CRITTOGRAFIA DEI DISCHI/CHIAVETTE
MAC OSX: Filevault;
WINDOWS: Bitlocker o altri sistemi di crittografia;
CHIAVETTE/HARD DISK ESTERNI: VERACRYPT (per OSX, WIN e
LINUX).
Esistono tool che permettono di forzare l’account personale di macchina in
sistemi non crittografati, es. Konboot e Ultimate Boot CD.
Koonboot per Windows e OSX; http://www.piotrbania.com/all/kon-boot/
13. MANTENERE SICURE LE NOSTRE RETI
• autenticazione dei servizi offerti/applicativi;
• nascondere il nome della rete*;
• password di accesso robusta*;
• tecniche crittografiche di trasmissione dei dati*;
• accesso in funzione del mac-address*;
• evitare condivisioni con i sistemi aziendali se non di
pertinenza (es. reti wi-fi guest)*;
• separare il traffico di rete.
*nello specifico per reti wi-fi.
14. TRASMISSIONE SICURA DEI DATI
Possibilità di rendere sicure le comunicazioni all’interno di una
rete locale oppure fra reti geografiche private e pubbliche in
internet.
VARIE CASISTICHE
• connettività sicura delle sedi locali via internet;
• accesso remoto sicuro via internet;
• attivazione di connettività extranet e intranet con i fornitori.
15. TRASMISSIONE SICURA DEI DATI
HTTPS
Interazione del protocollo HTTP con lo strato sicuro di comunicazione fornito
da SSL (standard internet denominato poi TLS).
Viene creato un canale di comunicazione criptato attraverso lo scambio di
certificati.
SSL provvede alla sicurezza del collegamento
garantendo
• autenticazione delle identità;
• confidenzialità delle informazioni trattate;
• integrità dei dati inviati/ricevuti.
16. PGP
APPLICATIVI SICURI
• E’ possibile assicurare sicurezza, segretezza e integrità dei dati trasmessi
a livello applicativo;
• Le nostre email transitano tra vari server ed è possibile ricostruire il
percorso delle stesse e avere delle “copie”;
• PGP (Pretty Good Privacy) è un software per la gestione di documenti
cifrati/autenticati basato su un approccio ibrido (crittografia asimmetrica +
simmetrica);
• PGP è diventato prodotto commerciale (http://www.pgp.com);
• la versione free più utilizzata è GPG (GNU Privacy Guard).