Che cos’è il cyber risk e quali sono i diversi possibili fronti di minaccia per un’azienda o un ente? Cosa implica oggi, concretamente, esserne esposti? E ancora, in che misura le imprese, a partire da quelle del nostro territorio, sono consapevoli dei potenziali danni e pronte nella prevenzione e gestione del rischio?
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Mio intervento su "La privacy e la sicurezza negli studi legali" in cui ho effettuato una breve analisi degli obblighi in materia di protezione dei dati personali che gli studi legali devono osservare anche in considerazione del Regolamento UE 2016/679 di prossima applicazione.
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Mio intervento su "La privacy e la sicurezza negli studi legali" in cui ho effettuato una breve analisi degli obblighi in materia di protezione dei dati personali che gli studi legali devono osservare anche in considerazione del Regolamento UE 2016/679 di prossima applicazione.
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il 26 maggio prossimo entrerà in vigore definitivamente il Regolamento dell’Unione Europea in materia di trattamento di dati personali (GDPR) che introduce nuovi principi, nuove prassi operative e più diritti per i titolari dei dati personali ed un livello di protezione degli stessi uniforme in tutti gli Stati dell’Unione. Il Regolamento abroga la direttiva n. 95/46/CE e verrà meno anche il D.Lgs. 196/2003 (c.d. “Codice privacy”), sebbene molti dei suoi obiettivi e principi rimarranno validi.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Con la piena entrata in vigore del nuovo Regolamento privacy molteplici realtà pubbliche e private si sono confrontate con la necessità di dover nominare un Responsabile per la Protezione Dati Personali (Data Protection Officer), tra dubbi e incertezze sui casi di obbligatorietà della nomina.
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
GDPR Normativa Europea trattamento dati personali 2016/679. Confrontiamoci sulla sicurezza del dato, gestione, necessità di acquisire competenze per una gestione efficace del dato e sicura che garantisca l'interessato e il valore del dato per l'azienda e il professionista.
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Il 26 maggio prossimo entrerà in vigore definitivamente il Regolamento dell’Unione Europea in materia di trattamento di dati personali (GDPR) che introduce nuovi principi, nuove prassi operative e più diritti per i titolari dei dati personali ed un livello di protezione degli stessi uniforme in tutti gli Stati dell’Unione. Il Regolamento abroga la direttiva n. 95/46/CE e verrà meno anche il D.Lgs. 196/2003 (c.d. “Codice privacy”), sebbene molti dei suoi obiettivi e principi rimarranno validi.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Con la piena entrata in vigore del nuovo Regolamento privacy molteplici realtà pubbliche e private si sono confrontate con la necessità di dover nominare un Responsabile per la Protezione Dati Personali (Data Protection Officer), tra dubbi e incertezze sui casi di obbligatorietà della nomina.
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
GDPR Normativa Europea trattamento dati personali 2016/679. Confrontiamoci sulla sicurezza del dato, gestione, necessità di acquisire competenze per una gestione efficace del dato e sicura che garantisca l'interessato e il valore del dato per l'azienda e il professionista.
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...Riccardo Cocozza
Un bilancio operativo, critico, sullo stato di attuazione del gdpr e sulle difficoltà per il mondo delle PMI, a cinque mesi dall'efficacia della norma. Presentazione nell'ambito dell'Open day Lazio Innova del 25 ottobre 2018 - Tecnopolo Tiburtino, Roma
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
18. R. Villano “La gestione della sicurezza in Farmacia” con presentazione del Dr. Piero Renzulli, già Consulente per la Sicurezza presso le Nazioni Unite. Opera apprezzata dal Capo dello Stato e da numerose autorità e istituzioni tecniche, scientifiche, giuridiche e professionali. Avvalendosi di un’ottica senza precedenti, la materia della sicurezza viene trasformata da fonte di preoccupazioni e di costi, spesso considerati superflui e senza ritorno, in un sostegno fondamentale della validità e dell’efficienza professionali. L’argomento della sicurezza si snoda dalla definizione di ruoli, obblighi e responsabilità individuali, per esempio quelli titolare, dei responsabili del servizio di prevenzione e protezione, e di prevenzione incendio. Non manca un supporto legislativo, con il richiamo alle informative e agli articoli dei decreti di legge che interessano l’argomento preso in esame. Vengono poi affrontati numerosi altri aspetti. Ogni rischio è valutato con attenzione, identificandone i vari elementi e programmando e attuando le misure di prevenzione. Non si tralascia l’attenzione per la sistemazione e l’allestimento dei laboratori farmaceutici, il sistema di controllo alimentare aziendale, lo smaltimento dei rifiuti e dei medicinali scaduti, la tutela della privacy, e la farmacovigilanza. Il volume è corredato di una modulistica e di schede tecniche, che forniscono un valido aiuto nella prevenzione e nella valutazione di eventuali rischi e pericoli, sia che si tratti di tipologie di rifiuti sanitari, che di farmaci tossici, o statistiche di segnalazione. Il presentatore invita tutti coloro che amano la scienza e la sua divulgazione in abiti sobri e raffinatidi unirsi a lui nel ringraziare l’Autore del suo genreroso sforzo teso soltanto all’appagamento di una tensione mentale e spirituale che trova nel sociale la sua prima realizzazione. È in prestigiose Istituzioni e in molte Biblioteche specialistiche, tra cui: Quirinale; Ministero della Salute; Carabinieri NAS; Accademia Nazionale delle Scienze detta dei XL; Centrale giuridica - Roma; Medica statale; Nobile Collegio Chimico Farmaceutico Universitas Aromatariorum Urbis; varie Università italiene ed estere e Facoltà di Farmacia. (Small Business, Longobardi Ed., pp. 222, aprile 2004 - presentata al Congresso Nazionale della Federazione Nazionale dei Farmacisti Italiani - maggio 2004; Standard Edition, Led Web International, (ISBN) pp. 264, Torino, ottobre 2004 - presentata alla Fiera del Libro di Francoforte - Buchmesse - del 6/10 ottobre 2004);
Nella presentazione vengono illustrati brevemente gli adempimenti introdotti dal GDPR. Inoltre viene indicato una possibile modalità di creazione ed attuazione del un modello organizzativo privacy.
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo.
1 Introduzione al nuovo Regolamento Europeo per mla Protezione dei Dati Personali (GDPR)
2 Misure di sicurezza
3 Il ruolo del Responsabile per la Protezione dei Dati Personali (DPO)
Introduzione al GDPR, General Data Protection Regulation.Purple Network
Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
2. I Relatori
Avv. Giovanni Tagliavini
Partner Cortellazzo & Soatto
Avvocato - esperto di tutela del
patrimonio aziendale e
formazione su tematiche di
privacy
Padova, 21 novembre 2017 2
CyberRisk e Data Protection
Dott. Andrea Cortellazzo
Partner Cortellazzo & Soatto
Commercialista - Esperto di
riorganizzazione dei processi
aziendali in particolare in contesti
ad elevata digitalizzazione
Ing. Matteo Merialdo
Senior Project Manager
RHEA Group
Ingegnere - Esperto di Software
Engineering, Executive
Management e IT Governance
Ing. Romina Colciago
Direttore Aon Global Risk
Consulting Italy - Aon
Hewitt Risk & Consulting
Ingegnere - Esperto di
Processi di Enterprise Risk
Management e di gestione del
Rischio Cyber
Dott. Giulio Rosati
Unit Director
Financial Lines Specialty
Aon
Esperto in materia di
coperture assicurative
Financial Lines e Cyber Risk
3. 3Padova, 21 novembre 2017
Dalla disciplina della «Privacy» fino alla «Protezione dei Dati»
prevista dal «Regolamento generale sulla protezione dei dati»
(GDPR, General Data Protection Regulation): qual è il filo
conduttore del quadro normativo di riferimento a livello
Europeo e Nazionale
a cura dell’Avv. Giovanni Tagliavini (Cortellazzo & Soatto)
CyberRisk e Data Protection
4. Relatore
Si occupa di assistenza e consulenza legale, giudiziale e
stragiudiziale, prevalentemente nell'ambito della contrattualistica
d’impresa, del diritto societario e concorsuale, del diritto del lavoro,
anche con particolari esperienze di processi di acquisizione e
trasferimento di asset e di tutela del patrimonio aziendale materiale
ed immateriale.
Ha maturato competenze trasversali di diritto civile e penale, diritto
societario e dei mercati finanziari, nazionale, comunitario ed
internazionale, anche in ambiti specifici di verifica dei sistemi e delle
procedure in funzione della aderenza e conformità a normative
speciali (privacy, responsabilità amministrativa degli enti, normative di
settore).
Skills
4Padova, 21 novembre 2017
CyberRisk e Data Protection
Avv. Giovanni Tagliavini
Partner Cortellazzo & Soatto
Avvocato - esperto di tutela del
patrimonio aziendale e
formazione su tematiche di
privacy
5. Timeline
the European Commission proposed a
comprehensive reform of data
protection rules in the EU.
2012 2016 2018
2016
On 4 May 2016, the official texts of the
Regulation and the Directive have been
published in the EU Official Journal in
all the official languages.
While the
Regulation will enter
into force on 24 May
2016, it shall apply
from 25 May 2018.
The Directive enters
into force on 5 May
2016 and EU
Member States have
to transpose it into
their national law by
6 May 2018.
5
CyberRisk e Data Protection
Padova, 21 novembre 2017
Take control
of your
personal
data
6. Dalla disciplina della
“Privacy” fino alla
“Protezione dei Dati”
prevista dal “Regolamento
generale sulla protezione
dei dati (GDPR, General
Data Protection
Regulation):
qual’è il filo conduttore
del quadro normativo di
riferimento a livello
Europeo e Nazionale
• Il regolamento generale sulla protezione
dei dati (GDPR, General Data Protection
Regulation- Regolamento UE 2016/679) è
un Regolamento con il quale la
Commissione europea intende rafforzare
e rendere più omogenea la protezione dei
dati personali di cittadini dell'Unione
Europea e dei residenti nell'Unione
Europea, sia all'interno che all'esterno dei
confini dell'Unione europea (UE).
• Il testo, pubblicato su Gazzetta Ufficiale
Europea il 4 maggio 2016 ed entrato in
vigore il 25 maggio dello stesso anno,
inizierà ad avere efficacia il 25 maggio
2018.
CyberRisk e Data Protection
7. Dal 25 maggio 2018, il GDPR andrà a
• sostituire la direttiva sulla protezione dei dati
(ufficialmente Direttiva 95/46/EC) istituita nel 1995;
• abrogherà le norme del Codice per la protezione dei
dati personali (dlgs.n. 196/2003) che risulteranno
con esso incompatibil;
• si attende una normativa italiana "di raccordo" che
metta ordine e inserisca le norme del Codice privacy
non incompatibili all'interno dell'impianto normativo
del Regolamento;
• Con Direttiva UE 2016/680, in aggiunta a questo
nuovo regolamento sarà applicata una disciplina
speciale e in parte derogatrice per i trattamenti dei
dati da parte dell'Autorità Giudiziaria e di tutte le
forze di polizia, che continueranno ad essere
differenti da Stato a Stato ed oggetto di una
legislazione separata nazionale .
CyberRisk e Data Protection
Dalla disciplina della
“Privacy” fino alla
“Protezione dei Dati”
prevista dal “Regolamento
generale sulla protezione
dei dati (GDPR, General
Data Protection
Regulation):
qual’è il filo conduttore
del quadro normativo di
riferimento a livello
Europeo e Nazionale
8. CyberRisk e Data Protection
Informativa e Consenso
Portabilità dei Dati Elettronici
Protezione dei dati dalla Progettazione
Protezione per Impostazione Predefinita
Registro delle Violazioni
Sicurezza delle Informazioni
Valutazione d’Impatto
Standard ISO 29151
Code of Practice for
personally identifiable
information protection
Dalla disciplina della
“Privacy” fino alla
“Protezione dei Dati”
prevista dal “Regolamento
generale sulla protezione
dei dati (GDPR, General
Data Protection
Regulation):
qual’è il filo conduttore
del quadro normativo di
riferimento a livello
Europeo e Nazionale
9. Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
Il regolamento non riguarda la gestione di dati
personali per attività di sicurezza nazionale o di
ordine pubblico ("le autorità competenti per gli scopi
di prevenzione, indagine, individuazione e
persecuzione di reati penali o esecuzione di
provvedimenti penali").
Possono essere comminate le seguenti sanzioni:
- un'ammonizione scritta in casi di una prima
mancata osservanza non intenzionale.
- accertamenti regolari e periodici sulla protezione
dei dati
- una multa fino a 10 milioni di euro, o fino al 2% del
volume d'affari globale registrato nell'anno
precedente (casi previsti dall'Articolo 83, Paragrafo 4) o
fino a 20 milioni di euro o fino al 4% del volume
d'affari (casi previsti dai Paragrafi 5 e 6).
9Padova, 21 novembre 2017
CyberRisk e Data Protection
Il GDPR si applica ai dati dei residenti nell'Unione
Europea e si applica anche a società, aziende,
imprese ed enti con sede legale fuori dall'UE che
trattano dati personali di residenti nell'Unione
Europea, anche a prescindere dal luogo o dai luoghi
ove sono collocati i server e le banche dati.
Secondo la Commissione Europea "i dati personali
sono qualunque informazione relativa a un
individuo, collegata alla sua vita sia privata, sia
professionale o pubblica.
Può quindi riguardare qualunque cosa: nomi, foto,
indirizzi email, dettagli bancari, anagrafiche
amministrative, interventi su siti web di social
network, informazioni mediche, ecc senza
distinguere elementi di maggiore o minore
«sensibilità»
10. Un valido consenso deve essere esplicitamente dato per la
raccolta dei dati e per i propositi per i quali sono usati
(Articolo 7; definito in Articolo 4). Pertanto se la richiesta
viene inserita nell'ambito di altre dichiarazioni essa va
distinta e formulata con linguaggio semplice e chiaro
(Articolo 7).
Condizione di validità del consenso è che le finalità per cui
viene richiesto siano esplicite, legittime, adeguate e
pertinenti (Articolo 5).
Nel caso in cui il consenso al trattamento dei propri dati
personali per una o più specifiche finalità sia stato espresso da
minori esso è valido solo se il minore ha almeno 16 anni
(ridotta a 13 anni solo se lo stato membro ha previsto con
legge una diversa età purché non inferiore a questa) Qualora il
minore abbia un'età inferiore ai 16 o 13 anni, il consenso al
trattamento deve essere dato da un genitore o da chi eserciti
la potestà, e deve essere verificabile (Articolo 8).
I controllori dei dati devono essere in grado di provare il
consenso ("opt-in") e il consenso può essere ritirato o
modificato con l’introduzione di limitazioni nel trattamento
(art. 18).
10Padova, 21 novembre 2017
CyberRisk e Data Protection
Il principio di responsabilità legato al trattamento
dei dati personali resta ancorato (come nel Codice
per la protezione dei dati personali) ad un concetto
di responsabilità per esercizio di attività pericolosa
con una valutazione ex ante in concreto ed una
sostanziale inversione dell'onere della prova.
Per non rispondere del danno commesso derivante
dal trattamento dei dati personali occorre
sostanzialmente provare di aver fatto tutto il
possibile per evitarlo.
Il Regolamento aggancia e sviluppa questo tipo di
responsabilità verso il concetto di Accountability
(art. 5 co. 2). Occorre osservare i principi applicabili
al trattamento dei dati personali di cui all'articolo 5
adempiendo alle relative obbligazioni ed essere in
grado di comprovarlo.
Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
11. Le valutazioni dell'impatto della protezione dei dati
(Articolo 35)
devono essere effettuate nei casi in cui si verifichino
rischi specifici per i diritti e le libertà dei soggetti dei
dati. La valutazione e la riduzione del rischio sono
richieste insieme ad un'approvazione preventiva da
parte delle autorità per la protezione dei dati (DPA,
Data Protection Authority) per rischi elevati.
I Responsabili per la protezione dei dati (Articoli 37)
sono tenuti a verificare l'osservanza delle norme del
Regolamento da parte dei titolari e nel caso di
valutazioni di impatto, se richiesto dal titolare, sono
tenuti a consultarsi con esso.
11Padova, 21 novembre 2017
CyberRisk e Data Protection
I requisiti per le informative agli interessati rimangono e
in parte sono ampliati:
• devono includere il tempo di mantenimento dei dati
personali e occorre fornire i contatti di chi controlla
i dati e del funzionario preposto alla protezione dei
dati.
I principi di Privacy by Design and by Default (Articolo
25) richiedono che la protezione dei dati faccia parte del
progetto di sviluppo dei processi aziendali per prodotti
e servizi e a tal fine le impostazioni di privacy sono
configurate su un livello alto in modo predefinito.
È stato introdotto il diritto di contestazione delle
decisioni automatizzate, compresa la profilazione
(Articolo 22). I cittadini hanno ora il diritto di contestare
e contrastare decisioni che hanno impatto su di loro e
che sono state realizzate unicamente in base ai risultati
di un algoritmo.
Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
12. Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
Data Breach: Il titolare del trattamento dei dati avrà
l'obbligo legale di rendere note le fughe di dati
all'autorità nazionale e di comunicarle entro 72 ore
da quando ne è venuto a conoscenza.
I resoconti delle fughe di dati non sono soggetti ad
alcuno standard "de minimis" e debbono essere
riferite all'autorità sovrintendente non appena se ne
viene a conoscenza e comunque entro 72 ore.
In alcune situazioni le persone di cui sono stati
sottratti i dati dovranno essere avvertite.
12Padova, 21 novembre 2017
CyberRisk e Data Protection
La sicurezza dei dati raccolti è garantita dal titolare
del trattamento e dal responsabile del trattamento
chiamati a mettere in atto misure tecniche e
organizzative idonee per garantire un livello di
sicurezza adeguato al rischio.
A tal fine il titolare e il responsabile del trattamento
garantiscono che chiunque faccia accesso ai dati
raccolti lo faccia nel rispetto dei poteri da loro
conferiti e dopo essere stato appositamente
istruito, salvo che lo richieda il diritto dell'Unione o
degli Stati membri (Articolo 32).
A garanzia dell’interessato il Regolamento UE
2016/679 regolamenta anche il caso di
trasferimento dei dati personali verso un paese
terzo o un'organizzazione internazionale (Articolo 44
e ss) e prevede che l’interessato venga prontamente
informato in presenza di una violazione che metta a
rischio i suoi diritti e le sue libertà (Articolo 33).
13. Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
Portabilità dei dati in quanto una persona deve
essere in grado di trasferire i propri dati personali
da un sistema di elaborazione elettronico a un altro
senza che il controllore dei dati possa impedirlo.
I dati devono essere forniti dal controllore in un
formato strutturato e di uso comune. Il diritto alla
portabilità dei dati è sancito dall'Articolo 18 del
GDPR.
13Padova, 21 novembre 2017
CyberRisk e Data Protection
Il diritto alla cancellazione (Articolo 17) stabilisce che il
soggetto dei dati ha il diritto di richiedere la
cancellazione di dati personali relativi a sé sulla base di
una qualsiasi di una serie di giurisdizioni che
comprendono la mancata osservanza dell'articolo 6.1
(legalità), il quale include il caso (f) in cui gli interessi o i
diritti fondamentali del soggetto dei dati richiedente la
loro protezione prevalgono sui legittimi interessi del
controllore.
L’interessato deve poter esercitare questo suo diritto
con la stessa facilità con cui ha espresso il consenso al
trattamento dei suoi dati. Il responsabile del
trattamento, dietro richiesta dell’interessato, dovrà
comunicare all’interessato i destinatari a cui ha
trasmesso la sua richiesta di cancellazione (Articolo 19).
Sul responsabile del trattamento grava lo stesso onere in
caso di richiesta di limitazione o di rettifica dei dati
presentata dall’interessato rispettivamente ai sensi
dell’art. 18 e dell’art. 16 del Regolamento UE 2016/679
14. 14Padova, 21 novembre 2017
In quali ambiti aziendali la “Digitalizzazione” avrà maggiore
impatto:
Quali potranno essere le conseguenze in termini di amplificazione
potenziale dei “dati da proteggere” e dei “rischi da gestire”
come l’organizzazione aziendale può inserire il ruolo del “Responsabile
per la protezione dei dati” (DPO, Data Protection Officer)
a cura del Dott. Andrea Cortellazzo (Cortellazzo & Soatto)
CyberRisk e Data Protection
15. Relatore
Si occupa prevalentemente di supportare imprese e gruppi societari
nell’ambito di interventi volti alla riorganizzazione dei processi aziendali,
anche con l’ausilio dell’introduzione di sistemi gestionali ERP, di sistemi
di Gestione Elettronica Documentale e di Conservazione Sostitutiva,
assumendo incarichi consulenziali sia nella fase di selezione che nella
successiva fase di implementazione delle soluzioni.
Specialista nei processi di eInvoicing, in ambito nazionale e
internazionali, e correlata Compliance IVA.
Interviene anche nell’ambito dello sviluppo ed implementazione di
sistemi di controllo direzionale, di budgeting e di reporting ed ha
maturato esperienze nello sviluppo e nella gestione di modelli
organizzativi ai sensi del D.Lgs. n. 231/2001 e di modelli di internal
audit.
Skills
15Padova, 21 novembre 2017
CyberRisk e Data Protection
Dott. Andrea Cortellazzo
Partner Cortellazzo & Soatto
Commercialista - Esperto di
riorganizzazione dei processi
aziendali in particolare in contesti
ad elevata digitalizzazione
16. In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
Quali potranno essere le
conseguenze in termini di
amplificazione potenziale
dei “dati da proteggere” e
dei “rischi da gestire”?
CyberRisk e Data Protection
Amministrazione / Finanza
/ Controllo
Area Logistica
Gestione Fornitori Area Fiscale
Area Societaria
Gestione Clienti Area Produzione
eGoverment
eCommerce
Mobile Payment
eInvoicing
17. In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
Quali potranno essere le
conseguenze in termini di
amplificazione potenziale
dei “dati da proteggere” e
dei “rischi da gestire”?
CyberRisk e Data Protection
Amministrazione / Finanza
/ Controllo
Area Logistica
Gestione Fornitori Area Fiscale
Area Societaria
Gestione Clienti Area Produzione
eGoverment
eCommerce
Mobile Payment
eInvoicing
18. Quali potranno essere le
conseguenze in termini di
amplificazione potenziale
dei “dati da proteggere” e
dei “rischi da gestire”?
CyberRisk e Data Protection
Amplificazione
Esponenziale
dei“dati da
proteggere”
Rischi da Gestire
proporzionali?
DIPENDE ….
✓Approccio al rischio
✓Cultura Aziendale
✓Deleghe e Responsabilità
✓Procedure di Controllo e
Monitoraggio
In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
19. Il Modello Organizzativo
Approccio al Rischio
Il regolamento pone con forza l'accento
sulla "responsabilizzazione" (accountability
nell'accezione inglese) di titolari e responsabili –
ossia, sull'adozione di comportamenti proattivi e
tali da dimostrare la concreta adozione di misure
finalizzate ad assicurare l'applicazione del
regolamento
19Padova, 21 novembre 2017
CyberRisk e Data Protection
Procedure di controllo e Monitoraggio
l'intervento di controllo sarà principalmente "ex
post", successivamente alle determinazioni
assunte autonomamente dal titolare;
NB abolizione a partire dal 25 maggio 2018 della
notifica preventiva dei trattamenti all'autorità di
controllo e il cosiddetto prior checking (o verifica
preliminare. Ora registro dei trattamenti e,
effettuazione di valutazioni di impatto in piena
autonomia.
Cultura Aziendale
viene affidato ai titolari il compito di
decidere autonomamente le modalità, le
garanzie e i limiti del trattamento dei dati
personali – nel rispetto delle disposizioni
normative e alla luce di alcuni criteri specifici
indicati nel regolamento
Deleghe e Responsabilità
A partire dal "responsabile della protezione
dati" (RPD/DPO) si riflette l'approccio
responsabilizzante che è proprio del
regolamento (si veda art. 39)
«la sensibilizzazione e la formazione del
personale»
«la sorveglianza sullo svolgimento della
valutazione di impatto di cui all'art. 35»
20. In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
Come l’organizzazione
aziendale può inserire il
ruolo del “Responsabile
per la protezione dei dati”
(DPO, Data Protection
Officer)
CyberRisk e Data Protection
•Il Titolare del Trattamento - Data Controller o
Responsabile del trattamento
•Il Responsabile esterno del Trattamento /
Amministratore di Sistema - Joint Controller o
Co-responsabile del trattamento
•Il responsabile ed incaricato del trattamento, -
Data Processor e Incaricato del Trattamento o
Data Handler,
•Il responsabile della sicurezza dei dati -Data
Protection Officer ( DPO )
21. In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
Come l’organizzazione
aziendale può inserire il
ruolo del “Responsabile
per la protezione dei dati”
(DPO, Data Protection
Officer)
CyberRisk e Data Protection
•Il Titolare del Trattamento - Data Controller o
Responsabile del trattamento
•Il Responsabile esterno del Trattamento /
Amministratore di Sistema - Joint Controller o
Co-responsabile del trattamento
•Il responsabile ed incaricato del trattamento, -
Data Processor e Incaricato del Trattamento o
Data Handler,
•Il responsabile della sicurezza dei dati -Data
Protection Officer ( DPO )
22. Il DPO è obbligatorio in qualsiasi caso
in cui il trattamento sia effettuato:
• da una pubblica amministrazione o
da un suo organismo,
• da società con più di 250
dipendenti,
• da aziende, le cui attività
principali siano costituite, per loro
natura, scopo o finalità, da
sistematico e regolare
monitoraggio delle persone
interessate, oppure se l'attività
principale del titolare implicherà
un trattamento su larga scala di
dati sensibili, relativi alla salute o
alla vita sessuale, genetici, oppure
giudiziari e biometrici. (escluse
comunque le autorità
giurisdizionali)
Il DPO rimarrà in carica, come minimo,
due anni, rinnovabili alla scadenza.
L’incarico potrà essere affidato ad un
soggetto terzo laddove, il precedente
DPO, non detenga più le qualità
richieste dalla norma.
Un DPO dovrà detenere qualità di
natura professionale, esperienza ed
abilità nell’area “legge sulla privacy”,
nonché rispettare i compiti (o parte di
essi come da accordi presi con
l’amministrazione del titolare) previsti
per detta figura.
Il DPO non dovrà avere conflitti di
interesse in azienda e dovrà essere
coinvolto preventivamente nelle
decisioni del management.
Il DPO potrà anche essere un
dipendente interno all'azienda oppure
esterno in forza di un contratto di
servizi.
I requisiti del DPO, Responsabile
della protezione dei dati personali,
nominato dal titolare del
trattamento o dal responsabile del
trattamento, dovrà:
1. possedere un'adeguata
conoscenza della normativa e delle
prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in
piena indipendenza ed in assenza di
conflitti di interesse;
3. operare alle dipendenze del
titolare o del responsabile oppure
sulla base di un contratto di servizio.
Il titolare o il responsabile del
trattamento dovranno mettere a
disposizione del Responsabile della
protezione dei dati personali le
risorse umane e finanziarie
necessarie all’adempimento dei suoi
compiti.
22Padova, 21 novembre 2017
Il «Responsabile per la protezione dei dati»
(DPO, Data Protection Officer)
CyberRisk e Data Protection
23. 23Padova, 21 novembre 2017
CyberRisk e Data Protection
Il «Responsabile per la protezione dei dati»
(DPO, Data Protection Officer)
I compiti del DPO sono:
• Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
• Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di
protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di
protezione dei dati) ed in materia di verifiche
• Assicurare che la “documentazione” (l’equivalente del nostro DPS) sia redatta ed efficacemente
aggiornata.
• Obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica
proattiva (c.d. Accountability)
• Obbligo di tenere un registro delle attività del trattamento dei dati personali,
• Monitorare che accessi illeciti ai dati siano notificati all’autorità Garante (c.d. Data Breach
Notification)
• Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (c.d. Data Protection Impact)
• Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
• Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in
azienda.
24. 24Padova, 21 novembre 2017
Cyber Risk:
Gli elementi chiave e la necessità di un approccio integrato
per contenerlo e monitorarlo nel tempo
a cura dell’Ing Romina Colciago (Aon)
CyberRisk e Data Protection
25. Relatore
Ing. Romina Colciago
Direttore Aon Global Risk Consulting
Italy - Aon Hewitt Risk & Consulting
Ingegnere delle tecnologie industriali, inizia il proprio percorso
professionale nel 1996 nella Consulenza di Direzione in ambito
Operations dove sviluppa competenze gestionali in progetti
complessi di reingegnerizzazione dei processi logistico-
produttivi per aziende multinazionali appartenenti a differenti
settori industriali.
Dal 2002 entra nel mondo della Gestione dei Rischi.
Dal 2011 è Direttore della Divisione Aon Global Risk Consulting
in Italia.
Romina ha maturato una profonda conoscenza delle
organizzazioni industriali, finanziarie e sanitarie nella gestione
di numerosi progetti riguardanti l'identificazione, la valutazione,
la quantificazione, la mitigazione e la definizione di una strategia
di rischio con particolare focus sui Rischi Operativi e sui Cyber
Risk.
Skills
25
CyberRisk e Data Protection
Padova, 21 novembre 2017
26. Cyber Risk:
gli elementi chiave e la
necessità di un
approccio integrato
Il contesto di riferimento e
gli elementi chiave
CyberRisk e Data Protection
27. #9
#5
AGRMS
2015
AGRMS
2017
Source: Aon Global Risk Managemen Survey 2017
… come è cambiata la percezione (e la realtà)
del rischio? CyberRisk e Data Protection
Padova, 21 novembre 2017
28. 1.
Dinamismo
ed
evoluzione
Aumenta la base di attacco
Aumenta la dipendenza dai sistemi sempre più interconnessi
Aumenta la “facilità di attacco” – Hire an hacker
I Fattori
MILIARDI DI
DEVICES
SARANNO CONNESSI AD INTERNET
ENTRO IL 2020
CI SARANNO 8 DEVICES PER OGNI
PERSONA
NEL MONDO
*Ponemon Institute 2015 Global Cyber Impact Report (sponsored by Aon)
CyberRisk e Data Protection3 elementi chiave
Padova, 21 novembre 2017
29. Fonte: DELL sevureworks.com
«Hire an hacker»
3 elementi chiave CyberRisk e Data Protection
1.
Dinamismo
ed
evoluzione
Padova, 21 novembre 2017
30. 2.
Tema di
Business,
non solo
IT
Third Party
Breach
First Party
Breach Cost
Data &
System
Restoration
Business
Interruption
(during
breach)
Loss of
Intellectual
Property
Extended
Business
Interruption
Bodily Injury
Third party
Liability
Property
Damage
Top 9 Concerns of Board of Directors
1. Source: Aon Cyber Captive Survey 2016
Impatti
Target Corp. +$264m
JP Morgan Chase $250m
Home Depot $232m
• Carbanak 1 Bln
• Wannacry 4 Bln?
Il richio cyber dovrebbe
stare sulle tavole dei Board
e sotto stretto monitoraggio
di tutti gli Organi di Controllo
3 elementi chiave CyberRisk e Data Protection
31. La compliance al nuovo GDPR
Diritto all’oblio
Il Titolare del trattamento deve garantire
all’interessato la cancellazione dei dati
personali che lo riguardano senza
ingiustificato ritardo (Right to be
forgotten)
Portabilità dei dati
Il GDPR sancisce l’obbligo di garantire
all’interessato la trasmissione diretta dei
dati personali da un Titolare all’altro, se
tecnicamente fattibile,
senza impedimenti
Proporzionalità
Deve essere rispettato il principio di
proporzionalità: I dati devono essere
adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali
sono trattati.
Privacy by design e by default
Il GDPR disciplina l’obbligo di assicurare
che le misure adottate attuino
efficacemente i principi di privacy by
design (i.e. protezione dei dati fin dalla
progettazione) e privacy by default (i.e.
impostazione predefinita che preveda il
trattamento dei soli dati necessari al
perseguimento delle finalità)
Risk-based approach
Il GDPR prevede un approccio risk-based,
attraverso lo svolgimento del Privacy Impact
Assessment, sono valutati i rischi per i
trattamenti effettuati. Tale attività è volta a
valutare le misure di sicurezza adottate Tra
le misure consigliate per migliorare la data
protection vi sono: la pseudonimizzazione,
la crittografia, la resilienza dei sistemi.
Consenso
Il consenso deve essere esplicito ed
essere prestato liberamente: il GDPR
richiede che l’interessato acconsenta al
trattamento dei dati personali con atto
positivo inequivocabile con il quale
dimostra l’intenzione libera, specifica e
informata di accettare il trattamento di dati
personali che lo riguardano (e.g.: non ci
sono caselle preimpostate)
E inoltre … obbligo di denuncia entro 72 H dal «Data Breach», nuova figura del DPO, ….
2.
Tema di
Business,
non solo IT
3 elementi chiave CyberRisk e Data Protection
32. Rischio zero?
3.
Non
esiste il
Rischio
ZERO
Source: Aon
Il caso del Pentagono
Luglio 2015 - ll Pentagono ha dovuto mettere fuori servizio il suo
sistema di e-mail dopo aver registrato un "sofisticato attacco
informatico" da parte di presunti hacker russi
Il caso Hacking Team
Luglio 2015 - La società di spionaggio digitale, colpita da un attacco hacker ha perso 400
gb di dati, e dichiara: «Prima dell'attacco potevamo controllare chi aveva accesso alla
nostra tecnologia. Ora, a causa del lavoro di criminali, abbiamo perso la capacità di
controllare chi la utilizza». Che in sostanza vuol dire: i nostri spyware potrebbero essere
finiti nelle mani di chiunque, e potrebbero quindi essere utilizzati per qualsiasi cosa. Il
pensiero va immediatamente al terrorismo, anche perché le cronache recenti raccontano
sempre più spesso di azioni di questo tipo.
Fonte: www.ilsole24ore.com
Fonte: www.rainews.it
Tutti i settori sono colpiti, anche le realtà teoricamente «più
protette»
3 elementi chiave CyberRisk e Data Protection
Padova, 21 novembre 2017
33. Il livello di preparazione delle Aziende è ancora limitato
e gli investimenti in cyber security contenuti
Rischio zero?
3.
Non esiste
il Rischio
ZERO
3 elementi chiave CyberRisk e Data Protection
Padova, 21 novembre 2017
34. Il caso ransomware «Wannacry» / «Wannacrypt»
Maggio 2017 - WannaCry, chiamato anche
WanaCrypt0r 2.0, è un worm, di tipologia ransomware,
responsabile di un'epidemia su larga scala avvenuta
nel maggio 2017 su computer con sistema operativo
Microsoft Windows. In esecuzione cripta i file presenti
sul computer e chiede un riscatto di alcune centinaia di
dollari per decriptarli. Wannacry sfrutta soprattutto la
natura puramente umana delle vulnerabiltà
propagandosi tramite email, e capace di propagarsi
mediante un software trafugato dall’NSA americana
(eternalblue) per sondare la rete in cerca di punti di
accesso e propagazione dell’infezione. Tra i principali
indiziati dell'attacco informatico c'è la Corea del Nord.
Alcune parti del codice utilizzato in WannaCry
coinciderebbero infatti con quelle utilizzate in altri virus
dispensati in passato dal regime di Pyongyang.
Colpiti 100 mila sistemi in 150 Paesi - La polizia europea lo ha definito un
"attacco senza precedenti" e il G7 è sceso subito in campo per lanciare un
messaggio ai Governi affinché condividano informazioni per combattere le
minacce crescenti dei cyberterroristi. Il virus si è diffuso in 100 mila
organizzazioni in 150 Paesi in tutto il mondo, si contano i danni che vanno
dalle ferrovie tedesche alla Renault che ha fermato gli stabilimenti in
Francia, dal sistema sanitario britannico, dove è andato in tilt un ospedale
su cinque, all'Università di Milano Bicocca.
Un nome pesante, nel casellario delle vittime, è quello dell'olandese TNT
(Gruppo FedEx), in cui il malware, insinuatosi nei computer aziendali
attraverso la rete Lan, ha avuto ripercussioni pesanti. Il sistema di
tracciamento delle spedizioni è praticamente saltato.
Ciò che è avvenuto ha causato un pesante impatto finanziario causando
l’abbassamento delle azioni di FedEx del 3.4%; nonché di notevoli impatti
di immagine.
Fonte: www.corriere.it
WannacryCase History CyberRisk e Data Protection
Padova, 21 novembre 2017
35. Petya / (Not)Petya
L’attacco (not)Petya e i suoi effetti
Giugno 2017 – Molte organizzazioni in Europa sono
state colpite dall’attacco «ransomware» di nome
«Petya», giudicato dagli specialisti del settore l’attacco
più critico dei mesi estivi.
Petya, variante del ransomware Wannacry, capace di
sfruttare l'aggiornamento di un software per il mondo
business chiamato MeDoc molto usato in Ucraina,
armato con Eternalblue sviluppato dalla Nsa, in grado
di superare le barriere in entrata attraverso le mail e
sfruttando delle vulnerabilità del software citato. La
prima denuncia di attacco “Petya” è arrivata dalla
compagnia danese di trasporto marittimo, energia e
cantieristica navale Maersk (i cui danni sarebbero stati
stimati dagli analisti in un range tra i 200M$ e i
300M$), seguita poco dopo dal gigante petrolifero
russo Rosneft e dalla sua controllata Bashneft.
In Ucraina sono stati impattati la Banca nazionale, i negozi Auchan, la rete
metropolitana e l’aeroporto Borispol della capitale Kiev e persino la
centrale nucleare di Chernobyl, dove sono andati “parzialmente fuori uso”
i sistemi che monitorano i livelli di radiazione. Il virus si è diffuso anche in
Gran Bretagna, con problemi agli impianti produttivi della Nissan, Francia,
con impatti al colosso dell’automotive Renault, e India. Un’ottantina le
aziende finite nel mirino finora, tra cui Mars, Nivea, il colosso britannico
della pubblicità Wpp (il cui impatto economico per la società
multinazionale britannica impiegata nelle PR è stato stimato pari a 15
M£*), il produttore siderurgico russo Evraz, la ditta francese di
distribuzione di materiali per l’edilizia Saint Gobain e la compagnia
alimentare Mondelez International.Fonte: https://www.theguardian.com
(*)http://www.computerweekly.com/news
Case History CyberRisk e Data Protection
Padova, 21 novembre 2017
36. ?
® Dove si colloca il mio rischio?
® Quali investimenti posso/devo
implementare perché il mio
rischio sia accettabile?
® Quale quota di rischio trasferire?
® Il Mercato Assicurativo può
accettare questo rischio?
Bilanciare Costi e Benefici degli interventi di Cyber Security, a
tutela del Business e delle Risorse
Dove si posiziona la vostra azienda CyberRisk e Data Protection
Padova, 21 novembre 2017
37. Allineare la strategia di cybersecurity strategy con la cultura
aziendale e la tolleranza al rischio
CyberRisk e Data ProtectionSviluppare un’organizzazione Resiliente
Padova, 21 novembre 2017
38. Tradurre gli Scenari di Rischio in Impatti Economici
…creare business case utili a supportare le decisioni di
Board, Imprenditori, Manager
La quantificazione del rischio CyberRisk e Data Protection
Padova, 21 novembre 2017
39. Source: Framework Nazionale Cyber Security
Il Framework Nazionale di Cyber Security
…un approccio personalizzato per le Grandi Imprese …. e per le PMI (implementare
subcategorie e priorità alta e livello di maturità basso)
Integrare il Rischio Cyber
nei processi di ERM
CyberRisk e Data Protection
Padova, 21 novembre 2017
40. Il Progetto WISER
Source: www.cyberwiser.eu Co-funded by the European Commission
Horizon 2020 – Grant # 653321
Soluzioni di real-timemonitoring per le PMI CyberRisk e Data Protection
41. Le opportunità per le Imprese
Con la legge di Stabilità 2017 sono stati introdotti incentivi fiscali (iperammortamento del
250% e superammortamento del 140%) finalizzati a supportare gli investimenti “4.0”
delle imprese italiane. Riguarda l’acquisto di beni strumentali nuovi che “favoriscono i
processi di trasformazione tecnologica e/o digitale in chiave Industria 4.0”.
QUALI INIZIATIVE E INVESTIMENTI SONO FINANZIABILI
Le nove tecnologie abilitanti individuate dal Piano italiano sono:
1. ADVANCED MANUFACTURING SOLUTIONS: Robot collaborativi interconnessi e rapidamente programmabili
2. ADDITIVE MANUFACTURING: Stampanti in 3D connesse a software di sviluppo digitali
3. AUGMENTED REALITY: Realtà aumentata a supporto dei processi produttivi
4. SIMULATION: Simulazione tra macchine interconnesse per ottimizzare i processi
5. HORIZONTAL/VERTICAL INTEGRATION: Integrazione informazioni lungo la catena del valore dal fornitore al
consumatore
6. INDUSTRIAL INTERNET: Comunicazione multidirezionale tra processi produttivi e prodotti
7. CLOUD: Gestione di elevate quantità di dati su sistemi aperti
8. CYBER-SECURITY: Sicurezza durante le operazioni in rete e su sistemi aperti
9. BIG DATA AND ANALYTICS: Analisi di un'ampia base dati per ottimizzare prodotti e
processi produttivi
Industria 4.0 CyberRisk e Data Protection
Padova, 21 novembre 2017
42. 42Padova, 21 novembre 2017
Cyber Risk:
tecnologie e prassi per la sicurezza delle aziende
a cura dell’ Ing. Matteo Merialdo (Rhea)
CyberRisk e Data Protection
43. Relatore
Ing. Matteo Merialdo
Senior Project Manager
RHEA Group
Matteo Merialdo è un esperto architetto software e project
manager, con la responsabilità di coordinare alcuni dei
principali progetti di sicurezza informatica di RHEA Group per
conto di clienti istituzionali e di grandi dimensioni.
Ha conseguito una laurea in ingegneria delle
telecomunicazioni, un master in Software Engineering, in
Executive Management e IT Governance.
43Padova, 21 novembre 2017
CyberRisk e Data Protection
Skills
44. Tecnologie e prassi
per la sicurezza delle
aziende
Il contesto di riferimento e
gli elementi chiave
CyberRisk e Data Protection
45. The are only two types of companies: those that have
been hacked and those that will be. Even that is merging
into one category: those that have been hacked and those
that will be again.
• Robert Mueller, Former FBI Director on Cyber Threat
• “
”
Tecnologie e prassi per la
sicurezza delle aziende
Cyber risk e Data Protection
46. Cybersecurity incidents are increasing at
an alarming pace with profound effect on
daily functioning of society & economy
47. Tecnologie e prassi per la
sicurezza delle aziende
Cyber risk e Data Protection 47
Cyber-risk has become one of the major threats to
business continuity and business reputation.
• 2017 Aon Global Risk Management Survey
48. Malware attacks “WannaCry” and “Petya” spread through
600,000 systems in 150 countries in 2017, affecting some
of the world’s biggest corporate names, including UK-
based advertising group WPP, Danish shipping company AP
Moller-Maersk, and U.S. delivery service FedEx.
• Financial Times (July 7, 2017)
Cyber risk e Data
Protection
48Tecnologie e prassi per la sicurezza delle aziende
49. Cyber-Security – problem
Lack of security-driven continuous and dynamic
Management for large and complex ICT systems
Security relies on “know-how” and “expertise”
Priority targets are difficult to identify
Mission/System dependency is difficult to
determine
System interdependency is difficult to assess
Attacks are complex and non-obvious
Optimal mitigations are difficult to determinate
49
External Services
Internal Services
Restricted
Domain
FIREWALL
FIREWALL
FIREWALL
WWW Server
Mission Critical
Workstation
Corporate
Workstation
Intrusion Detection
System
CyberRisk e Data Protection
50. 5 STEPS for improving Cyber-Security
resilience
Understand critical assets and interactions
It is not possible to protect everything, thus is mandatory to analyse what really matter for the
organization (starting from a Business Impact Analysis)
Proactively assess cyber-risk
Asset analysis is not sufficient: risk assessment iterations must be carried out regularly in order
to manage the risk
Several methodologies exists (NIST, ISO 27005, HTRA, MEHARI, Magerit)
Typical results, even often useful, usually are purely qualitative
More sophisticated instruments are needed in order to continuously manage cyber risk
CyberRisk e Data Protection
51. Make awareness a priority
Following most common cyber-security standards (e.g. ISO 27001), improving cyber security
awareness in the organization and its policies is fundamental
Many threats depends on misbehaviours of the employees
Fortify the organization
Use the results from the risk assessment in order to plan mitigation actions (network configuration,
patches, policies and procedures) able to decrease the level of the risk
Prepare for the inevitable
Implement a security incident management process in order to deal with incoming attacks
Transfer the residual risk to an insurance company
5 STEPS for improving Cyber-Security
resilience
CyberRisk e Data Protection
52. IT SECURITY MANAGERS NEED…
Situational
Awareness
Proactive
Policies
Reactive
Policies
Fact-based
Synthetic / visual
Business quantitative
Non-invasive
Automation support
Standardized
Open to market COTS
Tools / Process
requirements
… a synthetic, clear, actionable, comprehensive and always
updated view on the cyber risk exposure of their managed
infrastructures, based on objective evidences, including a
quantitative assessment of potential impacts on economics
…a recommended set of actionable interventions on the
infrastructure (patches, policies) maximizing the benefit to
cyber-risk exposure while minimizing costs; instrumental
to optimize/justify IT security budgets
…a near real-time cyber-threat detection and reaction
capability, based on a set of alarms and/or reactive
policies predefined on the IT infrastructure and its security
monitoring system
CyberRisk e Data Protection
53. Starlings soar®
A mature, non-invasive diagnostic system
to manage and quantify cyber-risk.
Tecnologie e prassi per la
sicurezza delle aziende
Cyber risk e Data Protection 53
54. Based on the panoptesec concept
The Starlings Soar® solution originates
from a 3-year (2013-2016), multi-million
R&D project sponsored by the European
Commission, Seventh Framework
Programme, DG Connect
Tecnologie e prassi per la
sicurezza delle aziende
Cyber risk e Data Protection 54
55. A unique, end-to-end modular system
Business impact and risk quantification
Business Processes map vs IT assets
Evaluation of overall infrastructure risk
(operational / financial impact)
Vulnerability and attack paths
Complete mapping of vulnerability surface
Full calculation of possible attack paths
Network discovery and data collection
Acquisition of network knowledge (scan,
topology data-flows, assets characteristics)
Flexible and open interface to COTS sensors
and systems
Vulnerabilities
& attack paths
Business impact and
risk quantification
Network discovery &
data collection
Risk
assessment
Mitigation
policies
identification
and
prioritization
CyberRisk e Data Protection
56. Starlings soar® - the process
Business impact
& risk
quantification
Vulnerabilities
& attack paths
Network
discovery & data
collection
CyberRisk e Data Protection
57. 57Padova, 21 novembre 2017
Cyber Risk:
la polizza assicurativa Cyber Risk quale strumento di
trasferimento del rischio
a cura del Dott. Giulio Rosati (Aon)
CyberRisk e Data Protection
58. Relatore
Dott. Giulio Rosati
Unit Director
Financial Lines Specialty
Aon Italia S.p.A,.
Laureato in economia entra nel settore assicurativo nel 2007
come underwriter Financial lines in Italiana Assicurazioni.
Dal 2008 entra nel mondo del brokeraggio in Italia e dal 2010 al
2012 a Londra sempre nel brokeraggio
Dal 2013 passa in QBE come underwriter sempre nel financial
lines .
Dal 2017 è Unit Director nella Unit Financial Lines in AON Italia.
Giulio ha maturato una profonda conoscenza sul piazzamento
con focus anche nella sottoscrizione dei rischi visto il pregresso
come underwriter con particolare focus sui Rischi financial lines
incluso il Cyber Risk.
Skills
CyberRisk e Data Protection
Padova, 21 novembre 2017
59. L’evoluzione del
rischio Cyber e
l’offerta assicurativa
CyberRisk e Data Protection
1. Introduzione
2. Il mercato assicurativo
3. Esempi di eventi dannosi
4. La Polizza Cyber
61. Il mercato assicurativo
Dimensione:
Il mercato assicurativo Cyber si è sviluppato a
livello mondiale negli ultimi 15 anni ed in Italia
da 5 anni.
Nel mondo vi sono circa 77 compagnie di
assicurazione che offrono prodotti assicurativi
Cyber. Il livello di customizzazione e
taylorizzazione ottenibile è molto elevato e
necessario.
Capacità del mercato per ogni singola copertura
assicurativa eccede il miliardo di euro.
0
200
400
600
800
1000
1200
Liability Business
Interruption
Crisis
Expense
Reputation
Damage
Capacity (€MM)
CyberRisk e Data Protection
Padova, 21 novembre 2017
62. Il mercato assicurativo
La situazione del mercato assicurativo:
• Da survey del Ponemon Research Institute, condotta su 2243
aziende in 37 paesi:
– Il valore degli asset digitali ha ormai raggiunto quello degli asset fisici;
– Il livello di protezione assicurativa degli asset digitali resta però
sensibilmente inferiore rispetto a quella degli asset fisici;
– La probabilità di danni ad assets digitali è maggiore rispetto a quella per
assets fisici;
– A seguito di danno «business disruption» l’ammontare delle perdite sugli
asset digitali è superiore a quello sugli asset fisici.
Fonte: Ponemon report on Cyber Crime, PPE stays for Property, Plant &
Equipment
CyberRisk e Data Protection
Padova, 21 novembre 2017
63. La punta di un iceberg
per proteggere azienda, brand, board,
azionisti etc.
Gran parte
degli incidenti
NON viene
comunicata
Padova, 21 novembre 2017
CyberRisk e Data Protection
64. Sinistri major negli ultimi anni
Anthem (compagnia assicurazioni sanitaria): Furto di circa 80 milioni
di record contenenti i dati personali dei clienti e degli impiegati
compresi nomi, date di nascita, indirizzi email, dati sul reddito e altro
ancora. La stima dei danni è ancora in corso, ma si preannuncia
molto pesante sia in termini di immagine che di risarcimenti agli
utenti superando il miliardo di dollari (si stimano 145 dollari per
report perso o rubato).
Ashley Madison (servizio web): Un gruppo di hacker è riuscito a
compromettere da remoto e rendere pubblico il database dei 37
milioni di utenti.
Carbanak: Un gruppo di hacker si è infiltrato con tecniche di
phishing all’interno di diverse organizzazioni finanziarie, infettandole
con malware realizzato ad-hoc riuscendo a sottrarre un totale
stimato di 1 miliardo di dollari tramite operazioni apparentemente
lecite ed autorizzate.
Hacking Team (azienda specializzata in produzione software):
Copiate e pubblicate online una impressionante quantità di
informazioni sensibili (oltre 400 Gigabyte).
Dipartimento di Stato USA: Infiltrazione e compromissione della
rete. Per fermare l’attacco l’amministrazione è stata costretta a
fermare i sistemi ed a re-installarli da zero.
CyberRisk e Data Protection
Padova, 21 novembre 2017
65. Experian / T-Mobile (società di recupero crediti): Cyber criminali
hanno aggredito la società, sottraendo i dati di quindici milioni di
clienti. Questo genere di furti su larga scala viene solitamente
realizzato per facilitare ulteriori crimini, quali il furto di identità,
tramite il quale poi si realizzano truffe online di vario genere.
John Brennan (Direttore CIA): Violata la casella mail personale
su America on Line e pubblicazione del contenuto.
VTech – smart toys e gadgets (società giocattoli tecnologici): Le
informazioni personali di circa 5 milioni di genitori ed oltre
200.000 ragazzi sono state rubate a seguito della
compromissione di un sito web della società.
Office of Personnel Management (agenzia USA): Violazione del
software e sottrazione informazioni molto sensibili, relative a tutti
indipendenti federali dal 2000 in avanti.
Ukraine Power Grid / Kiev Airport (rete elettrica ucraina): Un
attacco realizzato tramite malware ha consentito agli attaccanti di
alterare il funzionamento di alcune sottostazioni della rete
elettrica, con il risultato di provocare un black-out che ha
interessato circa 80.000 utenze.
Padova, 21 novembre 2017
Sinistri major negli ultimi anni CyberRisk e Data Protection
66. Proposal form
• Aon ha sviluppato un questionario che consente di fornire una
prima quotazione della polizza cyber, intercettando i principali
players di mercato;
• Questa fase è gratuita e non vincolante per l’azienda, che
potrà decidere sulla base delle quotazioni se approfondire sul
testo della polizza, le condizioni, le esclusioni etc.;
• Aon è disponibile a supportare il Cliente nella fase di
compilazione del questionario e nell’individuazione di
franchigie e massimali adeguati;
• Aon è disponibile ad effettuare degli incontri mirati ad
approfondire l’intera gamma dei servizi.
Padova, 21 novembre 2017
CyberRisk e Data Protection
67. Cosa considerare per strutturare
un programma assicurativo?
Programma
ottimale
Rischi
assicurabili
Requisiti
contrattuali
Budget
Tolleranza al
rischio
Ipotesi di
perdita
Ricostruzione
dei dati
Oggetto della
copertura /
controllo
Limiti di
Mercato
CyberRisk e Data Protection
Padova, 21 novembre 2017
68. Proposal form –
Cosa vuole sapere il mercato assicurativo?
Informazioni
richieste
Sinistri e
circostanze
precedenti
Sicurezza
informazio
ni personali
Gestione
rischi IT
Trattative
con terze
parti
Formazione
e
conoscenza
Raccolta dei
dati
Coperture
richieste
Informazion
i finanziarie
e societarie
CyberRisk e Data Protection
Padova, 21 novembre 2017
70. Le principali coperture della polizza Cyber
Vi sono due aree di rischio tutelabili dalla polizza cyber: First party e Third party.
1. First party (danni propri dell’assicurato)
-Business interruption Indennizzo per i costi per consulenti legali, esperti informatici e consulenti di crisi per
capire cos’è successo al fine di provare l’ammontare e la natura delle perdite coperte. + Indennizzo per i costi
di ripristino del sistema. + Rimborso per la perdita di profitto subita per interruzione dell’attività come diretta
conseguenza della indisponibilità totale o parziale del sistema informatico della società.
-Perdita di dati propri indennizzo per i costi di recupero e ripristino dei dati limitatamente ai costi di
reimmissione, ricarico, ricopiatura, reinserimento di informazioni digitalizzate ai fini delle memorie distrutte o
cancellate.
-Cyber-extortion Indennizzo per i costi necessari per porre fine alla minaccia estorsiva.
2. Third party (tutela per la responsabilità civile contro terzi)
-Perdita di dati di terzi con conseguente violazione di obblighi di riservatezza o della privacy di terzi
Indennizzo dei costi di notifica quali stampe, spedizioni e altri tipi di comunicazione alle parti lese. +
Indennizzo in caso di azioni legali o costi di difesa derivanti da richiesta di risarcimento di parti terze lese.
-Violazione della sicurezza di rete Indennizzo per i costi per riparare ad un errore che ha portato ad una
violazione della rete.
-Responsabilità media indennizzo per i costi di difesa derivanti da richiesta di risarcimento di terzi in seguito
ad eventi media quali ad esempio calunnia, diffamazione, violazione di copyright, nomi di dominio, segni
distintivi o semplicemente divulgazione di dati di terze parti.
CyberRisk e Data Protection
Padova, 21 novembre 2017
71. 2017 Global Cyber Risk Transfer
Comparison Report
L’Edizione 2017 dell’EMEA Cyber Risk Trasfer Comparison Report realizzata da Aon in
collaborazione con Ponemon Institute, rivela come, nonostante le aziende riconoscano il
crescente valore della tecnologia dei dati rispetto agli asset «materiali», spendano quatto
volte in più per le coperture assicurative di rischi relativi a proprietà immobiliari, stabilimenti
e attrezzature…
«Il primo passo per le aziende è che ci sia consapevolezza da parte del Top Management e
delle funzioni operative riguardo le minacce cyber e all’impatto sul business. Quello
successivo è sviluppare processi integrati di risk management che prevedano meccanismi di
prevenzione, controllo, real time monitoring, incident response e insurance transfer»
Enrico Vanin – CEO Aon SpA e Aon Hewitt Risk&Consulting
CyberRisk e Data Protection
72. CyberRisk e Data Protection
2017 Global Cyber Risk Transfer
Comparison Report
73. 2017 Global Cyber Risk Transfer
Comparison Report
CyberRisk e Data Protection
74. 2017 Global Cyber Risk Transfer
Comparison Report
CyberRisk e Data Protection
75. 75
CyberRisk e Data ProtectionChi è Aon
Aon nel Mondo
500 uffici in tutto il mondo
120 paesi in cui Aon è presente
72k collaboratori Aon nel mondo
Aon in Italia
+1200 dipendenti
25 uffici presenti su tutto il territorio
Aon è Glocal
Aon nel Nord-Est
4 Uffici (Pordenone, Treviso, Verona e
Vicenza)
+80 collaboratori
Circa 1000 Aziende gestite