BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr e continuità operativa

Milano 24/01/2018 © Giancarlo Butti 1
GDPR e continuità operativa: sinergie ed opportunità
GDPR e continuità operativa:
sinergie ed opportunità
BCI Italy Forum Event 25 Gennaio

Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI
Master in Gestione aziendale e Sviluppo Organizzativo (MIP - Politecnico di Milano).
Mi occupo di ICT, organizzazione e normativa dai primi anni 80:
•analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
•consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni
Come divulgatore ho all’attivo:
• oltre 700 articoli su 20 diverse testate tradizionali e 7 on line
• 21 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
• 9 opere collettive nell’ambito di ABI LAB, Oracle Community for Security, Rapporto CLUSIT
• membro della faculty di ABI Formazione e docente presso altre istituzioni
•docente del percorso professionalizzante ABI - Privacy Expert e Data Protection Officer in Banca di cui ho curato
l’impianto ed il test finale
•relatore presso eventi di ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, UNIVERSITA’
STATALE DI MILANO
Sono socio e proboviro di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), socio del CLUSIT
(www.clusit.it – Associazione Italiana per la Sicurezza Informatica) e di BCI (www.thebci.org)
Partecipo ai gruppi di lavoro di ABI LAB sulla Business Continuity , Rischio informatico, GDPR, blockchain di ISACA-AIEA su
Privacy EU e 263, di Oracle Community for Security su privacy, frodi, eidas, sicurezza dei pagamenti, SOC, di UNINFO sui
profili professionali privacy, di ASSOGESTIONI su Privacy EU. Fra i coordinatori di www.europrivacy.info.

Perché AIEA
Art. 2 dello Statuto - Lo scopo di AIEA è promuovere lo studio, la formulazione di metodi
e di standard inerenti il controllo dei processi di elaborazione automatica dei dati e delle
relative tecnologie (Information and Communication Technologies).
AIEA non ha scopo di lucro.
In particolare, obiettivi di AIEA sono:
•ampliare la conoscenza ed esperienza dei suoi membri nel campo dell’Information
Systems Auditing;
•provvedere ad una adeguata informazione e comunicazione tra gli associati ai fini
dell'aggiornamento nelle tecniche di controllo e governo nell’area della Tecnologia
dell’Informazione e della Comunicazione (ICT);
[…]
•promuovere la formazione di base e l’aggiornamento professionale dei soci mediante
l’istituzione di corsi, seminari, convegni, redazione, traduzione e diffusione di
pubblicazioni, nonché collaborazioni con le Università e le Scuole;
[…]
•rappresentare l’ISACA nel rispetto delle regole di appartenenza a tale Associazione (Nota:
l’associazione ad AIEA implica l’associazione ad ISACA)

I numeri dell’Associazione
•Members: 881 al 19.1.2018
•2017 Member Renewal Percentage: 92.14%
(based on # of mems invoiced for 2017)
•CGEIT: 51 (49)
•CRISC: 126 (114)
•CISA: 512 (446)
•CISM: 190 (148)
2016 Renewal Percentage: 90,32%
2015 Renewal Percentage: 81.53%

Le Politiche del Consiglio Direttivo
– Incoraggiare l’inserimento e il supporto dei Soci alle attività dei Consiglieri
– Favorire le iniziative dei Soci in un contesto di copertura territoriale nazionale:
autonomia di iniziativa ovunque proposto (Roma, Torino, Verona, Trento, Bolzano,
Lugano, Siena…)
– Contenimento dei costi
– Consolidamento della collaborazione esterna per l’organizzazione della
Formazione
– Consolidamento dei servizi istituzionali
– Incremento progressivo del ricorso alla tecnologia (sito, streaming)
– Innalzamento della qualità e diversificazione degli eventi AIEA

I Servizi ai Soci
–Sessioni di Studio gratuite, utili per l’innalzamento ed il mantenimento delle
competenze professionali, per l’ottenimento di CPE e occasione di networking
–Scuola AIEA: un programma di corsi finalizzati a
o sostenere chi intende conseguire una certificazione ISACA
o ampliare le conoscenze professionali in ambito Governance, Sicurezza,
Cybersecurity, Risk, Assurance
–Convegno Annuale (nel 2018 sarà il 32° consecutivo)
–AIEA Overthet0p – un incontro annuale con personalità sopra le righe
–Gruppi di ricerca

Sinergia di metodo
Sia nell’ambito del GDPR sia nell’ambito della BC è necessario intercettare tutti gli eventi che
possono avere impatti sul relativo modello:
• Variazioni organizzative
• Variazioni al sistema informativo
• Nuovi servizi e prodotti
• Variazioni nei processi
• Variazione nel personale
• Variazione degli scenari di rischi
• …
Capacità di intercettare tutti gli eventi
Valutarne tutte le conseguenze (in ambito privacy si definisce Privacy by design)

Sinergia di metodo
Analisi di impatto derivante dalla variazioni:
• BIA (Business Impact Analysis)
• PIA (Private Impact Analysis)

Principi di sicurezza nel GDPR
Sicurezza del trattamento
Pseudonimizzazione
cifratura
assicurare la continua … riservatezza …dei sistemi e dei servizi che trattano i
dati personali;
integrità
disponibilità
resilienza
ripristinare tempestivamente in caso di
incidente fisico o tecnico
disponibilità
accesso
procedura per provare, verificare e valutare L’efficacia delle misure tecniche e
organizzative

Resilienza e continuità
GDPR - Articolo 32 Sicurezza del trattamento
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura,
dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali
in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Resilienza e continuità
Circolare 285
LA GESTIONE DELLA SICUREZZA INFORMATICA
7. La disponibilità delle informazioni e delle risorse ICT
le architetture sono disegnate in considerazione dei profili di sicurezza informatica delle
applicazioni ospitate, tenendo conto di tutte le risorse ICT e di supporto interessate
(alimentazione elettrica, impianti di condizionamento, ecc.); a tale riguardo, l’intermediario
valuta la necessità di predisporre piattaforme particolarmente robuste e ridondate (ad es.,
applicando il principio del no single point of failure) volte a garantire l’alta disponibilità delle
applicazioni maggiormente critiche, in sinergia con le procedure e il sistema di disaster
recovery;
TITOLO IV – Capitolo 5 - LA CONTINUITÀ OPERATIVA

Disponibilità/accesso/resilienza…
Alta affidabilità (alta disponibilità)
Per alta affidabilità si intende la capacità di un sistema di resistere a situazioni locali
di guasto, tali da consentire la continuità nell’erogazione del servizio.
L’alta affidabilità deve evitare per quanto possibile l’attivazione del Disaster Recovery
Disaster Recovery
Il Disaster Recovery è una soluzione che consente di garantire la continuità del
servizio ICT nel caso di indisponibilità del sito primario

Ridondanza:
– Componenti dei server:
• Dischi
• Alimentatori
• Schede
– Server
– Apparecchiature di rete
– Dati

• Ridondanza impianti:
– Alimentazione
– Rete interna
– Connettività esterna
• Misure di protezione:
– Antincendio
– Anti intrusione
– …

• Elementi di criticità
– Se un solo elemento non è ridondato crea un punto di
debolezza significativo

• E’ inutile che i sistemi centrali siano disponibili se non sono
raggiungibili, ad esempio per:
– mancanza di rete
– mancanza del servizio
• Oppure se nessuna della postazioni utente è disponibile ad
esempio per:
– mancanza di alimentazione

• Oppure se le postazioni non sono utilizzabili ad esempio per:
– Inagibilità temporanea dei locali
– Irraggiungibilità dei locali
– Mancanza dei servizi elementari (acqua, riscaldamento…)

• Mettere sotto gruppo di continuità:
– Condizionatori
– Postazioni utente vitali
– Illuminazione essenziale
• Attenzione al posizionamento delle batterie tampone
• Contratto per rifornimento carburante anche durante week end
– Valvole dell’impianto di alimentazione di emergenza

• Possibilità di gestire in modalità remota il CED
• Divieto di un solo operatore nel CED
• Possibilità di raggiungere da remoto il CED da parte degli utenti:
– VPN

• Test
– Devono essere effettuati test dei singoli componenti
periodicamente
– Verifica periodica degli impianti di sicurezza
– Verifica periodica dei gruppi di continuità
– Test effettivi di attivazione del servizio (nel caso questo non
fosse già sempre attivo)
– …
• La mancanza di attenzione per alcuni dei componenti prima
descritti può portare all’attivazione del DR

• Verifiche periodiche
– Verifica che non ci siano ostacoli alle valvole di rilevazione
incendio o alle bocchette antincendio
– Verifica che non siano presenti nel CED o nelle immediate
vicinanze scatole o altro materiale infiammabile
– …

Possibili soluzioni

Possibili soluzioni
Alta affidabilità
CED
Primario
CED
Secondario
CED
DR

Possibili soluzioni
La creazione di soluzioni di DR comprende una casistica pressoché
illimitata, in quanto molteplici sono le composizione dei sistemi
informativi delle aziende di grosse dimensioni.
In estrema sintesi comunque è possibile distinguere le macro soluzioni
di DR in alcune categorie:
• quelle che prevedono la disponibilità di un sito, nel quale è
possibile collocare i sistemi su cui far ripartire applicazioni e servizi
• quelle che prevedono la disponibilità di un sito, con già disponibili i
sistemi su cui far ripartire applicazioni e servizi, lasciati inattivi
• quelle che prevedono la disponibilità di un sito, nel quale sono
disponili sistemi, già attivi che erogano applicazioni e servizi; in
questo caso si utilizza normalmente un bilanciamento di carico fra i
due siti (quello primario e quello secondario) nella erogazione dei
servizi. In caso di fault di uno dei siti l’altro è in grado di erogare il
100% dei servizi, eventualmente con prestazioni degradate.

Problemi - controlli
RTO
RTO: Recovery Time Objective, indica il tempo di ripristino del servizio: è la durata
di tempo e di un livello di servizio entro il quale un business process ovvero il
Sistema Informativo primario deve essere ripristinato dopo un disastro o una
condizione di emergenza (o interruzione), al fine di evitare conseguenze
inaccettabili;
In sintesi definisce il tempo massimo previsto per il ripristino di un servizio/sistema
per l’utente finale
RPO
RPO: Recovery Point Objective, indica la perdita dati tollerata: rappresenta il
massimo tempo che intercorre tra la produzione di un dato e la sua messa in
sicurezza e, conseguentemente, fornisce la misura della massima quantità di dati
che il sistema può perdere a causa di guasto improvviso;
In sintesi definisce a quando risale l’ultima copia dati valida

Problemi - controlli
L’RTO teorico è condizionato da molteplici fattori:
momento in cui avviene il disastro
da quando viene misurato:
• dal disastro o
• dalla dichiarazione di disastro?
interruzione del servizio durante il batch
L’RPO teorico è condizionato da molteplici fattori:
• durata della copia
• la copia avviene a sistemi fermi?
• i sistemi sono per cui si producono le copie sono fra loro connessi?

Business continuity
La capacità di continuare la propria attività è condizionata almeno dai
seguenti fattori:
• disponibilità di strumenti
• disponibilità di informazioni
• disponibilità dei collaboratori (in particolare delle figure chiave)
• oltre ovviamente alla disponibilità di un edificio con le opportune
infrastrutture in cui collocare quanto sopra.

The legislators have done their jobs!
But the result is a kind of cathedral, huge and a bit complex. We need then to go from the text to the
practice and provide all the users with very clear indications; with clear requirements.
1. Compliance obligations. ...
• For the business: fewer administrative paper work BUT more real compliance.
• With the regulation, we go from static to dynamic compliance.
• More real compliance through a wide range of tools that the company can pick and choose to ensure the best
compliance possible.
• DPO is the “chef d’orchestre” of the tool box.
2. Risk.
• The new tool box is driven by the concept of “risk”. It is a good thing to modulate compliance using a risk based
approach (like a cursor). But let me be clear: this does not mean that if there is no risk, there is no compliance
needed. It does mean either that the rights of the data subjects can be modulated depending on the risks.
3. Certification
• to translate the regulation into a simple-to-use tool, simple towards the end-users also. There are already
discussions on the certification schemes.
• There will be room for market offers...but these offers have to be framed by the guidelines we will define.
• In parallel with these guidelines, we need to build our new governance model along the rules developed by the
regulation .
4. We are building the future WP29, the EDPB.
• The EDPB is the board of the 28 regulators.
On behalf of the WP29 I am
happy to give you a few
elements, insights on how we
plan to act in the next
months in order to prepare
for the GDPR.
(Isabelle Falque Pierrotin
Chief of WP29, april 2016)
Data Protection
Framework !

Framework

Framework proprietari
Interventi
Informazioni
Principi e
Policy
Processi e
procedure
Ruoli ed
organizzazioni
Strumenti e
Servizi
PersoneObb. Funz.
Identificare
Proteggere
Monitorare / rilevare
Rispondere
Recover
6.2, 8.1, 9, 28.3, 29, 32.4, 35, 36, 37,
49, 30 (I) , 6 , 30 , 30 , 9 , 30 (I) , 30 (I) ,
30 (I) , 24, 26, 27, 28, 30 , 30 , da 44 a
49 , 30 , 32, 35 , 32 , 35 , 33--34
5 37, 24, 28, 29, 29, 26, 27 32 (I) 29, 32, 39
13-14, da 6 a 10; 22, 26_27_28, 30, da
45 a 48, 45, 47, 46 c.2 lett. d), 46, 46
c.3 lett. a), 49, 12, da 15 a 21, 57
5, 5, 24, 12, 32, 5 c.1 lett.d), 32 c.2 , 6
c.4 , 8, 9, 10, 28, 12 (I),
5, 32, 35, 12; da 15 a 21, 33 - 34, 33-34,
32, 24; 32; 35, 5 c.1 lett.d), 15, 8, 25,
35, 24, 32, 32, 32 (S), 32 (S), 32 (S), 32
(S), 32, 44, 47, 46 , 46, 46 , 49
26-27-28-37 32, 32 (I), 33 (I), 29, 39, 42,
24, . da 15 a 21 (S), . 33 (S); 34 (S), .
35(S), . 25 (S),
24, 32, 32, 24, 12, 57, 12; da 15 a 21, 57
(I)
28 5, 24, 32 (I); 33 (I),
24, 25, 33, 34, 25, 12, 15, 21, 17, 18, 21,
21, 21, 21, 20, 16, 7, 24, 35, 32; 35, 32;
35, 13 - 14, 6-7-8-9-10-22,26-27-28-37,
42,
24 - 25, 32, 32, 5
• Obbligatorio
• Implicito
• Supporto
Tratto dal libro «GDPR: Nuova Privacy - La conformità su misura»
G. Butti A. Piamonte ITER www.iter.it

Buone pratiche per:
•Misure di sicurezza
•Resilienza
•Disaster recovery
•Continuità operativa
•Notifica degli incidenti di
sicurezza
•Gestione degli outsourcer e
sub outsourcer
ANCHE SE CAMBIA
L’OGGETTO TUTELATO

Grazie per l’attenzione
Giancarlo Butti
giancarlo.butti@promo.it
cell. 338-9230742

BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr e continuità operativa

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr e continuità operativa

Similar to BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr e continuità operativa (20)

More from TheBCI

More from TheBCI (20)

BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr e continuità operativa