Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
Corso di sicurezza informatica scritto per Vicenza Software. Qua il link per l'iscrizione: http://corsi.vicenzasoftware.com/tutti-i-corsi/corso/sicurezza-informatica/category_pathway-13.html
La sicurezza informatica negli uffici, in particolare negli studi legali, dalla sicurezza fisica alla sicurezza dei sistemi.
Un'introduzione ai concetti della sicurezza informatica nell'utilizzo dei sistemi informativi di tutti i giorni.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
ICDL/ECDL FULL STANDARD
- IT SECURITY
- CONCETTI di SICUREZZA
- SICUREZZA PERSONALE
- PARTE 1.3
- INGEGNERIA SOCIALE
- TECNICHE di MANIPOLAZIONE delle PERSONE
- ERRORI UMANI
- DEBOLEZZE UMANE
- INFORMAZIONI RISERVATE, SEGRETE
- HUMAN HACKING
- DIFFONDERE INFEZIONI da MALWARE
- ACCESSO NON AUTORIZZATO a SISTEMI INFORMATICI
- FRODI
- TRASHING
- INFORMATION DIVING
- SKIMMING
- SHOULDER SURFING
- BAITING
- PRETEXTING
- MAN in the MIDDLE
- SNIFFING
- SPOOFING
- SEI TIPI di PHISHING
- VISHING
- SMISHING
- HACKING delle EMAIL
- SPAMMING dei CONTATTI
- QUID PRO QUO
- HUNTING
- FARMING
- TECNICHE PSICOLOGICHE
- FURTO d'IDENTITA'
- FRODE INFORMATICA
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
ICDL/ECDL FULL STANDARD
- IT SECURITY
- CONCETTI di SICUREZZA
- VALORE delle INFORMAZIONI
- PARTE 1.2B
- IDENTITA' DIGITALE
- FURTO d'IDENTITA'
- FRODE INFORMATICA
- DATI e INFORMAZIONI PERSONALI
- DOCUMENTI PERSONALI DIGITALI
- CREDENZIALI DIGITALI
- RISERVATEZZA di DATI e INFORMAZIONI
- CONSERVAZIONE di DATI e INFORMAZIONI
- PROTEZIONE di DATI e INFORMAZIONI
- CONTROLLO di DATI e INFORMAZIONI
- TRASPARENZA
- SCOPI LEGITTIMI
- SOGGETTI dei DATI
- CONTROLLORI dei DATI
- INTERESSATO e DATI PERSONALI
- TITOLARE dei DATI PERSONALI
- RESPONSABILE dei DATI PERSONALI
- SUB-RESPONSABILE dei DATI PERSONALI
- TRATTAMENTO dei DATI PERSONALI
- FASI del TRATTAMENTO dei DATI PERSONALI
- AGENZIA per l'ITALIA DIGITALE
- AGID
- AGENDA DIGITALE ITALIANA
- PIANO TRIENNALE per l'INFORMATICA
Come proteggere la propria privacy.
Come rendere il più possibile sicura le relazioni digitali.
Le slide di una lezione tenuta al corso di giornalismo presso la Fondazione Basso di Roma
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
Corso di sicurezza informatica scritto per Vicenza Software. Qua il link per l'iscrizione: http://corsi.vicenzasoftware.com/tutti-i-corsi/corso/sicurezza-informatica/category_pathway-13.html
La sicurezza informatica negli uffici, in particolare negli studi legali, dalla sicurezza fisica alla sicurezza dei sistemi.
Un'introduzione ai concetti della sicurezza informatica nell'utilizzo dei sistemi informativi di tutti i giorni.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
ICDL/ECDL FULL STANDARD
- IT SECURITY
- CONCETTI di SICUREZZA
- SICUREZZA PERSONALE
- PARTE 1.3
- INGEGNERIA SOCIALE
- TECNICHE di MANIPOLAZIONE delle PERSONE
- ERRORI UMANI
- DEBOLEZZE UMANE
- INFORMAZIONI RISERVATE, SEGRETE
- HUMAN HACKING
- DIFFONDERE INFEZIONI da MALWARE
- ACCESSO NON AUTORIZZATO a SISTEMI INFORMATICI
- FRODI
- TRASHING
- INFORMATION DIVING
- SKIMMING
- SHOULDER SURFING
- BAITING
- PRETEXTING
- MAN in the MIDDLE
- SNIFFING
- SPOOFING
- SEI TIPI di PHISHING
- VISHING
- SMISHING
- HACKING delle EMAIL
- SPAMMING dei CONTATTI
- QUID PRO QUO
- HUNTING
- FARMING
- TECNICHE PSICOLOGICHE
- FURTO d'IDENTITA'
- FRODE INFORMATICA
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
ICDL/ECDL FULL STANDARD
- IT SECURITY
- CONCETTI di SICUREZZA
- VALORE delle INFORMAZIONI
- PARTE 1.2B
- IDENTITA' DIGITALE
- FURTO d'IDENTITA'
- FRODE INFORMATICA
- DATI e INFORMAZIONI PERSONALI
- DOCUMENTI PERSONALI DIGITALI
- CREDENZIALI DIGITALI
- RISERVATEZZA di DATI e INFORMAZIONI
- CONSERVAZIONE di DATI e INFORMAZIONI
- PROTEZIONE di DATI e INFORMAZIONI
- CONTROLLO di DATI e INFORMAZIONI
- TRASPARENZA
- SCOPI LEGITTIMI
- SOGGETTI dei DATI
- CONTROLLORI dei DATI
- INTERESSATO e DATI PERSONALI
- TITOLARE dei DATI PERSONALI
- RESPONSABILE dei DATI PERSONALI
- SUB-RESPONSABILE dei DATI PERSONALI
- TRATTAMENTO dei DATI PERSONALI
- FASI del TRATTAMENTO dei DATI PERSONALI
- AGENZIA per l'ITALIA DIGITALE
- AGID
- AGENDA DIGITALE ITALIANA
- PIANO TRIENNALE per l'INFORMATICA
Come proteggere la propria privacy.
Come rendere il più possibile sicura le relazioni digitali.
Le slide di una lezione tenuta al corso di giornalismo presso la Fondazione Basso di Roma
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
Milano, 23 ottobre 2013
Questo workshop ha carattere tecnico-divulgativo ed ha come obiettivo quello di presentare al pubblico le modalità di attacco di alcune delle più diffuse tipologie di virus-malware progettati per carpire le credenziali di accesso all’on-line banking effettuato dai computer infetti.
Verranno presentate le varie tattiche di aggancio al browser attraverso le quali questi agenti malware sono in grado di rubare le credenziali di accesso agli ignari utenti o dirottare, a loro favore, pagamenti reali effettuati operativamente dall’utente legittimo.
1. Presentazione dei principali agenti malware realizzati con l’obiettivo di trasferire denaro dal conto corrente bancario dell’utente verso conti in paesi stranieri: da Zeus/Zbot, passando per il Sinowal, Gataka e Carberp.
2. I principali metodi di infezione che verranno presentati sono:
- diffusione attraverso e-mail con allegati allodola;
- diffusione attraverso falsi file .PDF;
- diffusione attraverso applet di flash player;
- diffusione attraverso JavaScript nascosti in pagine Web.
3. Presentazione di come avvenga l’infezione sul computer.
4. Illustrazione di come operativamente questi agenti malware siano in grado di bypassare il controllo attraverso chiavette PassKey-OTP, e il codice di verifica inviato via SMS.
5. Come cercare di prevenire l’infezione non solo dalle varianti già note ma anche e soprattutto dalle nuove varianti sconosciute all’antivirus in uso.
6. Conclusione e domande del pubblico. - See more at: http://www.smau.it/milano13/schedules/stato-dellarte-delle-truffe-bancarie-dal-phishing-ai-trojanbanker-come-si-diffonde-e-come-ci-si-difende/#sthash.8SgX7VUf.dpuf
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...SectorNoLimits
Incontro dedicato ad adulti, in particolare genitori e docenti, che vogliono approfondire la conoscenza delle moderne tecnologie digitali, dei rischi che esse comportano e delle migliori misure di prevenzione da assimilare e trasmettere ai propri figli e alunni. Relatore: Ettore Guarnaccia. Nell'incontro si è parlato di Internet, Sicurezza, Riservatezza, Reati Informatici, Cyber pedofilia e adescamento, Gioco digitale e videogame violenti e Contenuti inappropriati e dannosi per i minori. Infine, sono stati illustrati ai presenti i migliori comportamenti e le misure da adottare per prevenire e gestire eventuali problematiche.
Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consap...Caterina Policaro
"Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consapevole di internet, problematiche di formazione" Intervento di Caterina Policaro a Bologna 31 marzo 2014 - Seminario Dirigenti Scolastici "E-Leadership: Le competenze "digitali" del Dirigente nella scuola ad alta densità tecnologica"
Proteggere i dati significa evitare che il patrimonio informativo di un'azienda venga perso. Occorre evitare che un attacco passivo o attivo possa compromettere l'integrità dei dati. Una metodologia di difesa consiste nell'effettuare una risk analysis per valutare le minacce e le vulnerabilità. Successivamente, occorre intraprendere le opportune contromisure per ridurre il rischio di incidente.
https://www.vincenzocalabro.it
Seminario SMAU MILANO 2016 - 26.11.2016 - Avv. Andrea Maggipinto (AMLAW)
Dati e informazioni costituiscono parte essenziale e cruciale di ogni organizzazione. È una precisa responsabilità adottare tutte le misure necessarie e sufficienti perché tali risorse siano gestite in modo corretto e sicuro, in conformità alla Legge.
Nel corso del seminario si parlerà (anche) di cyber sicurezza e del nuovo Regolamento Europeo in materia di protezione dei dati personali.
Incontro per PMI organizzato da CONFAPIndistria di Piacenza.
CONFAPI, Confederazione italiana della piccola e media industria privata, è nata nel 1947 e rappresenta oggi gli interessi di oltre 94.000 imprese manifatturiere, con circa 900.000 lavoratori dipendenti.
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...marco scialdone
Una riflessione sulla necessità della salvaguardia del pubblico dominio nei confronti della continua espansione della tutela autorale in ambienti digitali.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019ALESSIA PALLADINO
La Blockchain è divenuta nota quale tecnologia impiegata per la generazione e circolazione dei Bitcoin, sebbene si presti a molteplici profili applicativi. Il suo utilizzo, infatti, non si esaurisce nel mero pagamento ovvero scambio di beni e servizi, ma consente qualsiasi altra forma di collaborazione tra uomini legata alle possibilità offerte dalla rete internet.
Il seminario si propone di analizzare il binomio “Blockchain – GDPR”, per evidenziare tutte le potenzialità operative sottese all’utilizzo di tale tecnologia; al contempo, mira ad analizzare le principali questioni giuridiche connesse al difficile bilanciamento con la tutela della privacy. A tal proposito, verranno esaminati i principali punti critici, connessi alla tutela della privacy, per delineare opportune linee operative affinché lo sviluppo della Blockchain possa supportare e rispettare le regole sulla protezione dei dati personali introdotte dal GDPR.
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi di sicurezza e protezione dei dati personali", Franco Cardin, direttivo ANORC e coordinatore nazionale ABIRT
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69401702
Problematiche privacy legate alla gestione
digitalizzata dei dati sanitari, analizzando lo stato dell'arte della normativa.
Relatore Avv. Graziano Garrisi.
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
I processi e i modelli organizzativi aziendali si confrontano quotidianamente con le opportunità e i rischi derivanti dall’utilizzo di strumenti informatici e di mezzi di comunicazione digitale. È indispensabile adottare e mantenere nel tempo soluzioni in grado di garantire adeguati livelli di qualità e sicurezza nella gestione di dati e processi, anche al fine di proteggere e valorizzare il patrimonio intangibile dell’azienda.
Il seminario proporrà spunti di riflessione sul tema, sia dal punto di vista legale-normativo, sia da una prospettiva tecnico-informatica. - See more at: http://www.smau.it/torino15/schedules/protezione-degli-asset-aziendali-tra-sicurezza-privacy-e-compliance/#sthash.x3heM0vB.dpuf
2. SICUREZZA INFORMATICA
● Non esiste una vera e propria definizione di
"Sicurezza Informatica". Possiamo comunque
delinearla come la scienza che studia come
proteggere le informazioni elaborate o
trasferite elettronicamente da atti indesiderabili
che possono avvenire accidentalmente, o
essere frutto di azioni colpose o dolose. (Perri
2003)
3. SICUREZZA INFORMATICA
● Non esiste un sistema sicuro al 100%; Il mito del
sistema inattaccabile è analogo al mito della nave
inaffondabile. (V. Titanic)
● Gnu/Linux e MacOS sono veramente immuni ai
virus?
● Il livello sicurezza di un sistema è dato dal tempo
necessario per violare il sistema, dall'investimento
necessario e dalla probabilità di successo.
4. SICUREZZA INFORMATICA
● Un sistema più è complesso più è insicuro.
● Le entità che compongono un sistema sono
necessariamente tre: hardware, software ed
humanware.
5. SICUREZZA INFORMATICA
●La conoscenza degli strumenti di sicurezza, dei
problemi e delle vulnerabilità che sorgono
progressivamente devono essere patrimonio culturale
di tutti gli utenti.
●A tal proposito si parla di full disclosure contrapposta
alla closed disclosure.
6. SICUREZZA GIURIDICA
● Perché i giuristi parlano di sicurezza
informatica?
● Il diritto, volente o nolente, ha dovuto
“mutuare” per certi versi la disciplina
informatica della sicurezza, integrandola nei
testi di legge.
7. SICUREZZA GIURIDICA
● Secondo la norma UNI/EN ISO 104559 “La
sicurezza è studio, sviluppo ed attuazione
delle strategie, delle politiche e dei piani
operativi volti a prevenire, fronteggiare e
superare eventi in prevalenza di natura dolosa
e/o colposa, che possono danneggiare le
risorse materiali, immateriali ed umane di cui
l'azienda dispone e necessita per garantirsi
un'adeguata capacità concorrenziale nel breve,
medio e lungo periodo”.
8. SICUREZZA GIURIDICA
● Art. 17 Dir. 95/46/CE comma 1 “Gli Stati membri dispongono
che il responsabile del trattamento deve attuare misure tecniche
ed organizzative appropriate al fine di garantire la protezione
dei dati personali dalla distruzione accidentale o illecita, dalla
perdita accidentale o dall'alterazione, dalla diffusione o
dall'accesso non autorizzati, segnatamente quando il trattamento
comporta trasmissioni di dati all'interno di una rete, o da
qualsiasi altra forma illecita di trattamento dei dati personali. Tali
misure devono garantire, tenuto conto delle attuali conoscenze
in materia e dei costi dell'applicazione, un livello di sicurezza
appropriato rispetto ai rischi presentati dal trattamento e alla
naturadei dati da proteggere”.
9. DIRITTO DELLA SICUREZZA
INFORMATICA
● La Comuntà Europea [...] è impegnata nel
promuovere un vero e proprio diritto della sicurezza
informatica (Cfr. Buttarelli, Verso un diritto della
sicurezza informatica in Sicurezza Informatica.1995)
● “Nella tematica della sicurezza, l'approccio giuridico
non è quello prevalente, ma, nel tempo, la disciplina
tecnica si è dovuta coniugare con un insieme di
regole simbolicamente contrassegnate come diritto
della sicurezza informatica” (Buttarelli 1997)
10. LA NOZIONE DI SICUREZZA
● Il diritto della sicurezza informatica ha ad oggetto lo
studio delle norme tramite le quali è possibile
assicurare l'integrità, la riservatezza e la
disponibilità del dato trattato. (Bonavita 2009)
11. IL DATO
● “Il concetto di 'dato' esprime una
registrazione elementare nella memoria di
un computer, pur non avendo una sua
dimensione numerica prestabilita, che possa
farlo ritenere una precisa unità di misurazione:
nel linguaggio comune il termine dati ha
invece una accezione più ampia, significando
spesso l'insieme dei contenuti registrati nella
memoria di un computer [...]” (Pica 1999)
12. RISERVATEZZA
● L’informazione deve essere accessibile solo a chi è
autorizzato a conoscerla. Le informazioni riservate
devono essere protette sia durante la trasmissione
che durante la memorizzazione. I dati memorizzati
devono essere protetti mediante crittografia o
utilizzando un controllo d’accesso, mentre per le
informazioni riservate trasmesse è necessaria la
crittografia.
13. INTEGRITA'
● Le informazioni devono essere trattate in modo che
siano difese da manomissioni e modifiche non
autorizzate. Solo il personale autorizzato può
modificare la configurazione di un sistema o
l’informazione trasmessa su una rete. Per garantire
l’integrità dei dati è necessario che il sistema sia
preparato ad individuare eventuali modifiche
apportate ai dati durante la trasmissione, sia
intenzionalmente in seguito ad un attacco, sia
involontariamente in seguito ad un errore di
trasmissione.
14. DIRITTO DELLA SICUREZZA
INFORMATICA
● “In Italia la cultura della sicurezza ha tardato ad
affermarsi. Per molto tempo, le misure di protezione
sono state considerate come una spesa a fondo
perduto o come un lusso, incompatibile con le
esigenze di economicità” (Buttarelli 1997)
15. DISPONIBILITA'
● L’informazione deve essere sempre disponibile
alle persone autorizzate quando necessario. Una
varietà di attacchi possono comportare la perdita o
la riduzione parziale della disponibilità di un sistema
informatico; alcuni di questi attacchi sono evitabili
tramite contromisure automatizzate come
l’autenticazione e la crittografia, mentre altri
richiedono speciali azioni fisiche per prevenire o
ridurre la perdita di dati o di risorse in un sistema
distribuito.
16. DIRITTO DELLA SICUREZZA
INFORMATICA
● D.P.C.M.15 FEBBRAIO 1989 Coordinamento
delle iniziative e pianificazioni degli investimenti in
materia di automazione nelle amministrazioni
pubbliche, Art. 4. “Le amministrazioni pubbliche
garantiscono l'applicazione delle misure per la
sicurezza dei centri elaborazione dati, la
segretezza e la riservatezza dei dati contenuti
negli archivi automatizzati, il numero delle copie
dei programmi dei dati memorizzati da conservare, le
modalità per la loro conservazione e custodia”.
17. LE FONTI
● La legge 23 dicembre 1993 n. 547 “Modificazioni ed
integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalità informatica”;
● · la legge 3 agosto 1998, n. 269 “Norme contro lo
sfruttamento della prostituzione, della pornografia, del
turismo sessuale in danno di minori, quali nuove forme di
riduzione in schiavitù”;
● la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del
diritto d'autore” volta a reprimere i comportamenti illeciti
di pirateria informatica;
18. LE FONTI
● Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina
della responsabilità amministrativa delle persone giuridiche,
delle società e delle associazioni anche prive di personalità
giuridica, a norma dell'articolo 11 della legge 29 settembre
2000, n. 300”
● In particolare il d.lgsl. 231/01 viene periodicamente
aggiornato con l’inclusione di nuovi reati; nel 2008 è stato
aggiornato per tener conto della legge n.48/2008, nel luglio
2009 per tener conto di nuovi delitti in relazione alla
violazione del diritto d’autore.
19. LE FONTI
● E’ tuttavia nella legge in materia di trattamento dei dati
personali che la sicurezza informatica ha trovato il suo
luogo di elezione.
20. Codice Privacy art. 31.
● I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da ridurre
al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta.
21. Codice Privacy art. 34
● Trattamenti con strumenti elettronici. Il trattamento
di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:
22. Codice Privacy art. 34 & 31
● Quale è la differenza tra misure minime e misure
idonee?
23. Codice Privacy art. 15 & 167
● Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento
ai sensi dell'articolo 2050 del codice civile.
● Chiunque, essendovi tenuto, omette di adottare le
misure minime previste dall'articolo 33 è punito con
l'arresto sino a due anni.
24. Codice Privacy art. 34
● a) autenticazione informatica;
● b) adozione di procedure di gestione delle credenziali di
autenticazione;
● c) utilizzazione di un sistema di autorizzazione;
● d) aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
● e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
25. Codice Privacy art. 34
● f) adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi;
● g) tenuta di un aggiornato documento programmatico sulla
sicurezza;
● h) adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale effettuati da organismi sanitari.
26. Codice Privacy art. 34
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
● I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante
l'utilizzo di idonei strumenti elettronici.
● Sono impartite istruzioni organizzative e tecniche per la
custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non autorizzati e
trattamenti non consentiti.
27. Codice Privacy art. 34
● I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
● Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o
degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
28. Codice Privacy art. 34
● I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
● Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o
degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
29. Codice Privacy art. 34
● Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o
banche di dati con le modalità di cui all'articolo 22, comma
6, del codice, anche al fine di consentire il trattamento
disgiunto dei medesimi dati dagli altri dati personali che
permettono di identificare direttamente gli interessati. I dati
relativi all'identità genetica sono trattati esclusivamente
all'interno di locali protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente autorizzati ad
accedervi; il trasporto dei dati all'esterno dei locali riservati
al loro trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei dati
in formato elettronico è cifrato.
30. Il DPS
● Entro il 31 marzo di ogni anno, il titolare di un
trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
31. Il DPS
● l'elenco dei trattamenti di dati personali;
● la distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
● l'analisi dei rischi che incombono sui dati;
● le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonchè la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
● la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento;
la previsione di interventi formativi degli incaricati;
32. Il DPS
● La descrizione dei criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare;
● per i dati personali idonei a rivelare lo stato di salute e la
vita sessuale, l'individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato.
34. PROVVEDIMENTI DEL
GARANTE
● Semplificazione delle misure di sicurezza contenute nel
disciplinare tecnico di cui all'Allegato B) al Codice in
materia di protezione dei dati personali -27 novembre 2008
● Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema -
7 novembre 2008
● Semplificazione al modello per la notificazione al
Garante- 22 ottobre 2008
● Rifiuti di apparecchiature elettriche ed elettroniche
(Raae) e misure di sicurezza dei dati personali - 13 ottobre
2008
35. PROVVEDIMENTI DEL
GARANTE
● Semplificazioni di taluni adempimenti in ambito pubblico
e privato rispetto a trattamenti per finalità amministrative e
contabilI - 19 giugno 2008
● Riconoscimento vocale e gestione di sistemi informatici -
28 febbraio 2008
● Trattamento di dati biometrici con finalità di verifica
della presenza dei dipendenti e di accesso a particolari aree
produttive (mulino) -15 giugno 2006
● Dati bancari: accesso non autorizzato e misure di
sicurezza -23 luglio 2009
36. D.lgs 231/01
● Legge 18 marzo 2008, n. 48 “Ratifica ed esecuzione della
Convenzione del Consiglio d' Europa sulla criminalità
informatica”
●Si prevede l'estensione della responsabilità
amministrativa delle le aziende, (D.lgs 231/01) ai reati
informatici commessi da un vertice o da un dipendente
dell’azienda allorquando ciò avvenga nel suo interesse o
abbia apportato alla stessa un vantaggio, salvo che queste
siano dotate di un piano di gestione degli incidenti
informatici.
37. D.lgs 231/01
• Il decreto legislativo 231 del 2001, prevede
l’esonero di responsabilità dell’ente allorquando lo
stesso dimostri di aver predisposto modelli di
organizzazione e di gestione idonei a prevenire
reati della specie di quello verificatosi
38. LE FONTI USA
● Digital Millennium Copyright Act (DMCA) - 1998
● Computer Fraud and Abuse Act (CFAA) -1984
● Electronic Communications Privacy Act -1986