Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

SICUREZZA INFORMATICA
OPPORTUNITÀ E RISCHI PER GRANDI IMPRESE
E PMI MANIFATTURIERE
INCONTRI DI CONFINDUSTRIA MACCHINE
Milano, 7 luglio 2016

Agenda e relatori
2
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni

Agenda e relatori
3
audit
informazioni

Relatore
4
Fabio GUASCONI
 Direttivo di UNINFO
 Presidente del CT 510 di UNINFO "Sicurezza"
 Membro del CT 526 di UNINFO "APNR"
 Direttivo CLUSIT
 CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
 Partner e co-founder BL4CKSWAN S.r.l.

Sicurezza di cosa? Intendiamoci ...
5
Sicurezza delle informazioni
Preservazione della riservatezza, dell’integrità
e della disponibilità delle informazioni
Disponibilità
Proprietà di essere accessibile e usabile a
richiesta di un’entità autorizzata
Integrità
Proprietà relativa all’accuratezza e alla
completezza
Riservatezza
Proprietà delle informazioni di non essere
rese disponibili o divulgate a individui, entità
o processi non autorizzati

Da cosa ci difendiamo?
7
Presenza web
 Siti vetrina o e-commerce
 Posta elettronica
 Accesso remoto a file e sistemi
Progettazione
 Specifiche di prodotto / disegni
 Know-how aziendale
Amministrazione e contabilità
 Accesso ai conti aziendali
 Dati personali dei dipendenti
 Budget e dati finanziari
Management
 Strategie aziendali
 Legale rappresentanza
Produzione
 Sistemi tecnologici
Commerciale
 Dati dei Clienti
Malware
Sabo-
taggio
Attacchi
web-based
DoS
Phishing
DoS
Furto
identità

Ma a noi interessa davvero?
9
Phishing su Internet Banking
1) Creazione di un sito web più possibile
similare a quello legittimo
2) Invio indiscriminato (se mirato si
tratta di spear-phshing) di email
contraffatte che portano l’utente
verso il sito web contraffatto
3) Raccolta di credenziali valide degli
utenti tramite sito web contraffatto
4) Riuso delle credenziali raccolte sul sito
legittimo / su altri siti per transazioni
illecite
http://www.sonicwall.com/phishing/

10
Cryptolocker
1) Apertura di allegato di email
infetto o consultazione di sito
web con contenuti malevoli
2) Cifratura dei contenuti del disco
locale e dei dischi di rete
acceduti
3) Richiesta di riscatto in Bitcoin (o
altra valuta non tracciabile) per
avere le chiavi di decifratura da
parte del malware entro 3 o 4
giorni di tempo

11
Attacco per finto bonifico
1) Compromissione o registrazione di
dominio di posta elettronica di un
fornitore
2) Apertura di un conto ponte che non
desti sospetti
3) Invio di email per richiesta di modifica
del conto registrato per i pagamenti
verso un cliente
4) Incasso del bonifico e spostamento di
denaro su conto off-shore

12
D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai?
R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non subire danni
come una grande azienda. Pochi danni = poco risalto sui mass media
D: Noi non abbiamo mai avuto problemi di questo tipo™, perché?
R: Due cause sono quelle più plausibili:
1) avete avuto MOLTA fortuna
2) non ve ne siete mai accorti
D: Quelle per la sicurezza informatica non sono altre spese inutili?
R: Le spese fatte senza solidi criteri o per mettere a posto i danni tendono ad essere
inutili, un sensato livello di protezione è anche economicamente efficace.

Come ci difendiamo
13
Riduciamo la lunghezza delle nostre mura e consolidiamole
 Dove sono le informazioni aziendali?
 Chi vi deve poter accedere?
 Possono essere accentrate e messe sotto controllo?

Come ci difendiamo
14
Adottiamo misure di igiene informatica su tutti i sistemi aziendali.
Parliamo di misure di:
 Antimalware
 Autenticazione
 Aggiornamento
 Backup
 Cifratura
 Limitazione della connettività
 Limitazione dei privilegi

Come ci difendiamo
15
Esempio: gestiamo correttamente l’autenticazione ai sistemi

Come ci difendiamo
16
Informiamo e formiamo
periodicamente il nostro personale:
 su cosa devono fare
per stare in sicurezza (v. uso delle
password)
 su cosa non devono fare per
evitare le minacce (v. phishing)
 sul perché la sicurezza delle
informazioni è importante (v.
giornata odierna)

Come ci difendiamo
17
I temi da toccare sono diversi e coinvolgono non solo i tecnici (o i fornitori)
informatici ma tutta l’azienda, ognuno per il suo.
Per essere efficaci è necessario un APPROCCIO COMPLESSIVO alla sicurezza …
e, vista la complessità dei temi, non è necessario inventarselo da capo

Agenda e relatori
18
audit
informazioni

Una «norma» è una specifica tecnica, adottata da un organismo di
normazione riconosciuto, per applicazione ripetuta o continua, alla quale non
è obbligatorio conformarsi, e che appartenga a una delle seguenti categorie:
a) «norma internazionale»: una norma adottata da un organismo di
normazione internazionale;
b) «norma europea»: una norma adottata da un’organizzazione europea di
normazione;
c) «norma armonizzata»: una norma europea adottata sulla base di una
richiesta della Commissione ai fini dell’applicazione della legislazione
dell’Unione sull’armonizzazione;
d) «norma nazionale»: una norma adottata da un organismo di normazione
nazionale.
Standard? Norma tecnica?
19
Dal Regolamento UE 1025/2012:

Principi alla base delle norme
20
DEMOCRAZIA
• Tutte le parti interessate possono partecipare ai lavori di
normazione
CONSENSO
• I lavori progrediscono attraverso il consenso dei
partecipanti ai lavori
VOLONTARIETÀ
• Le norme sono il punto di riferimento che tutte le parti
interessate adottano spontaneamente
TRASPARENZA
• L'Ente di normazione rende noti i passaggi di approvazione
a tutte le parti interessate

Benefici derivanti dall'uso delle norme
21
1 Le norme sono scritte da esperti della cui competenza si può
beneficiare direttamente facendovi riferimento, senza necessità di
avvalersi della loro collaborazione diretta
2 Le norme, soprattutto se internazionali, sono adottate da diversi
enti e mercati, formando una base comune per l'interscambio di
beni e servizi con caratteristiche omogenee
3 Un incremento dell'uso delle norme permette una maturazione ed
un aumento dell'efficacia produttiva di un mercato

Norme e Leggi
22
 è volontaria
 è frutto di un processo basato
sul concetto di consenso
 è uno strumento di
trasferimento tecnologico
 è pubblicata da un Ente di
normazione
 è obbligatoria
 è frutto di un processo basato
sul concetto di rappresentanza
 è uno strumento di
regolamentazione del mercato
 è pubblicata da un organismo
governativo in Gazzetta Ufficiale
o in un atto legislativo
Regola TecnicaNorma Tecnica

Chi sviluppa le norme in Italia
23
CIG
(Gas)
CTI
(Termotecnico)
CUNA
(Automobilistico)
UNISIDER
(Metallurgico)
UNIPLAST
(Materie
plastiche)
UNICHIM
(Chimico)
UNINFO
(ICT)

UNINFO
24
“UNINFO è una libera Associazione a carattere tecnico-scientifico
e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge
di promuovere, realizzare e diffondere la normazione tecnica nel
settore delle tecnologie dell'informazione e delle comunicazioni (in
breve ICT) e delle loro applicazioni, sia a livello nazionale che
europeo ed internazionale.”
Estratto dallo Statuto UNINFO

Attività di UNINFO
25
Tra gli ambiti normati da UNINFO:
 Automazione (Telepass)
 Codifica video (MPEG)
 Fatturazione elettronica
 Formati dei documenti (ODF, OOXML, ePUB)
 Profili professionali
 Sicurezza Informatica

Attività di UNINFO
26
Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+)
• Sistemi di gestione per la sicurezza delle informazioni (27001, 27002)
• Linee guida per i sistemi di gestione (2700X)
• Linee guida di settore (2701X)
• Linee guida per la sicurezza (2703X-2704X)
• Certificazione della sicurezza dei prodotti (15408, 18045)
• Autenticazione e biometria (2476X)
• Protezione dei dati personali (291XX)
• Crittografia (979X, 18033)
• Modelli di maturità ICT (21827)

Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).
• Applicabile a realtà di ogni dimensione
• Quasi 20 anni di esistenza sul mercato
• Ambito definibile a piacimento
• Approccio ciclico (PDCA)
• Costituisce un framework completo
• Dice cosa fare, non come farlo
• Rivolto al miglioramento continuo
• E’ un riferimento universale e certificabile
ISO/IEC 27001
27

PDCA e ISO/IEC 27001
28
P
D
C
A
4
contesto
5
leadership
6
pianificazione
7
supporto
8
attività
operative
9
valutazione
prestazioni
10
miglioramento
Appendice
A

Diffusione della ISO/IEC 27001 in Italia
29
Fonte: Accredia, andamento delle aziende certificate
0
50
100
150
200
250
300
350
400
450
500
gen-06
mag-06
set-06
gen-07
mag-07
set-07
gen-08
mag-08
set-08
gen-09
mag-09
set-09
gen-10
mag-10
set-10
gen-11
mag-11
set-11
gen-12
mag-12
set-12
gen-13
mag-13
set-13
gen-14
mag-14
set-14
gen-15
mag-15
set-15
gen-16
475

Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla
sicurezza delle informazioni, così specificato genericamente nella ISO 31000:
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
Analisi del rischio secondo ISO/IEC 27001:2013
30
Definizione
del contesto
Valutazione
del rischio
Trattamento
del rischio

E’ possibile, ma assolutamente non obbligatorio, raggiungere una
certificazione di terza parte una volta che si è adottata la norma.
La certificazione, oltre a essere utile per partecipare a gare, permette un
ritorno d’immagine per gli investimenti effettuati.
Certificazione di un SGSI
32

Certificazione di un SGSI
33
Check
ActPlan
Do
1° Anno 2° Anno 3° Anno
Audit di
Certificazione
Audit di
Mantenimento
Check
ActPlan
DoCheck
ActPlan
DoCheck
ActPlan
Do
Impostazione
Audit di
Mantenimento
Audit di
Certificazione

Quaderno UNINFO
34
La gestione della sicurezza delle informazioni e della privacy nelle PMI
ISO/IEC 27001, normativa privacy e PMI
Pubblicato il 27/09/2012 su iniziativa italiana,
liberamente scaricabile da:
http://tinyurl.com/jj2s537

Agenda e relatori
35
audit
informazioni

Relatore
36
Graziano GARRISI
 Avvocato del foro di Lecce
 Consulente privacy ed esperto in diritto delle nuove tecnologie - Studio
Legale Lisi e Digital & Law Department Srl
 Socio fondatore e membro del Direttivo di ANORC (Associazione
Nazionale per Operatori e Responsabili della Conservazione Digitale)
 Membro del Consiglio Direttivo di ANORC Professioni
 Membro del CT 526 di UNINFO - GL 03 "Profili professionali relativi alla
privacy"

La Commissione Europea considera il regolamento europeo,
in quanto self-executing, come lo strumento più idoneo per
definire il quadro giuridico per la protezione dei dati personali
nell’UE. In quanto l’applicabilità diretta del regolamento negli
Stati membri ridurrà la frammentazione giuridica e offrirà
maggiore certezza giuridica, migliorando la tutela dei diritti
fondamentali delle persone fisiche e contribuendo al corretto
funzionamento del mercato interno.
Regolamento UE n. 2016/679
Regolamento del Parlamento europeo e del Consiglio concernente la
tutela delle persone fisiche con riguardo al trattamento dei dati personali
e la libera circolazione di tali dati (Regolamento generale sulla
protezione dei dati)
37

Il Regolamento:
- abroga la vecchia direttiva 95/46/CE, recepita nei
vari Stati membri e anche nel nostro ordinamento
con il d.lgs. 196 del 2003 (Codice Privacy)
- non semplificherà l’attuale disciplina né ridurrà gli
oneri a carico dei titolari del trattamento, al
contrario introdurrà nuovi adempimenti e differenti
modelli organizzativi
- Esecutività (Regolamento): 2 anni da entrata in
vigore (= primavera 2018)  E nel frattempo?
38

Regolamento UE n. 2016/679:
 Diritti interessati: Trattamenti ulteriori, portabilità,
«oblio»
 Obblighi titolari: Approccio basato sul rischio (privacy
by design, DPO, valutazione di impatto, notifica data
breach, trasferimento dati in Paesi extra UE,
certificazione…) + «Accountability»
 Ruolo Autorità: Sportello unico e meccanismo di
coerenza (il Board), Sistema sanzionatorio
39

Regolamento Europeo: nuovo approccio alla protezione del dato
 Adeguamento delle misure di sicurezza al nuovo contesto: nuove
tecnologie ed evoluzione del cyber crime
 Enfatizzati i principi della vecchia direttiva EU
 Richiesto un approccio sistemico alla sicurezza e alla protezione del dato
 Richiamo alla RISK ANALISYS diffuso (misure di sicurezza, PIA)
 Richiesta l’efficacia e l’adozione preventiva
 Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza
 Ricorso alla Certificazione come strumento per la compliance (ISO/IEC 29100)
40

ISO/IEC 29134: Privacy Impact Assessment
41
Preparazione della PIA
• Necessità
• Team
• Pianificazione
• Stakeholder
Esecuzione della PIA
• Flussi informativi
• Casi d'uso
• Contromisure esistenti
• Valutazione del rischio
• Trattamento del rischio
Follow-up
• Report
• Implementazione del piano
• Audit
• Gestione dei cambiamenti
alla PIA

Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali;
b) La capacità di assicurare su base permanente la riservatezza, l’integrità,
la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a situazioni
avverse per garantire disponibilità dei servizi erogati)
c) La capacità di ripristinare tempestivamente la disponibilità e l’accesso
dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
d) Una procedura per testare, verificare e valutare regolarmente l’efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza
del trattamento
(vd. ISO/IEC 27001)
RISKANALISYS,DR,ISO
42

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati da trattamenti di dati derivanti in particolare dalla distruzione,
dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in
modo accidentale o illegale, a dati personali trasmessi, memorizzati o comunque
trattati.
3. L'adesione a un codice di condotta approvato ai sensi dell'articolo 40 o a un
meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere
utilizzata come elemento per dimostrare la conformità ai requisiti di cui al
paragrafo 1.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque
agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se
non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell'Unione o degli Stati membri.
Attenzione: una descrizione generale delle misure di sicurezza tecniche e
organizzative (di cui all'articolo 32, paragrafo) deve essere mantenuta all’intero dei
«Registri delle attività di trattamento»
43

MISURE DI SICUREZZA (nel D.Lgs. 196/2003)
TRE OBBLIGHI per i titolari del trattamento:
1. prevedere misure di sicurezza idonee a ridurre i rischi
2. adottare in ogni caso le “misure minime” previste dal Codice, e
quindi di assicurare comunque un livello minimo di protezione
dei dati personali
3. adottare le misure “necessarie” prescritte dal Garante ai sensi
dell’art. 154, comma 1, lett. c (Provvedimenti generali o specifici
nei confronti di singoli Titolari del trattamento)
Queste misure di sicurezza per il momento non vengono meno!
44

Viene ridisegnato l’organigramma privacy, con l’introduzione di nuove
figure soggettive e l’attribuzione di nuovi compiti e responsabilità:
• Titolare del trattamento (data controller);
• Contitolare (joint controller);
• Responsabile del trattamento (data processor);
• Sub-responsabile (subprocessor);
• Responsabile della protezione dei dati o Data Protection Officer (DPO).
I RUOLI e LE RESPONSABILITA’:
45

Il Regolamento Europeo: il Titolare
Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità
del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche
Art.22
Il titolare del trattamento mette in atto misure
tecniche e organizzative
(riesaminate/aggiornate se necessario) adeguate
per garantire ed essere in grado di dimostrare
che il trattamento dei dati personali è effettuato
conformemente al Regolamento.
Conserva la
documentazione e un
registro delle attività di
trattamento
mette in atto
meccanismi per
assicurare la verifica
dell’efficacia delle
misure
Attua i requisiti di
sicurezza dei dati
nomina il DPO
esegue la valutazione d’impatto
sulla protezione dei dati
(e chiede un parere al DPO)
nomina i Responsabili e fornisce
istruzioni ai dipendenti
Politiche adeguate in
materia di protezione dei
dati da parte del titolare
del trattamento
46

L'esecuzione dei trattamenti su commissione è disciplinata
da un contratto o da altro atto giuridico che vincoli il
Responsabile del trattamento al Titolare del trattamento, in
cui siano stipulati la materia disciplinata e la durata del
trattamento, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i
diritti del titolare del trattamento.
Il Regolamento Europeo: il Responsabile
Art. 28, paragrafo 3
47

Contenuto del contratto (o altro atto giuridico) tra Titolare e Responsabile:
a) tratta i dati personali soltanto su istruzione documentata del titolare del
trattamento (anche in caso di trasferimento di dati personali verso un paese
terzo o un'organizzazione internazionale: l'incaricato informa il responsabile
circa tale obbligo giuridico prima del trattamento dei dati);
b) garantisce che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) prenda tutte le misure (di sicurezza) richieste ai sensi dell'articolo 32;
d) rispetta le condizioni per ricorrere a un altro responsabile del trattamento;
e) tenuto conto della natura del trattamento, assiste il titolare con misure
tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al
fine di soddisfare l'obbligo del titolare di dare seguito alle richieste per
l'esercizio dei diritti dell'interessato.
48

f) assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione dell'incaricato del trattamento (Misure di
sicurezza, Notificazione e Comunicazione data breaches, PIA e
Consultazione preventiva);
g) cancella o restituisce tutti i dati personali dopo che è terminata la prestazione
dei servizi di trattamento di dati e cancella le copie esistenti (su scelta del
responsabile del trattamento), salvo che il diritto dell'Unione o degli Stati
membri preveda la memorizzazione dei dati;
h) mette a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e
consente e contribuisce alle attività di revisione (audit), comprese le ispezioni,
realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
N.B.:Il Responsabile del trattamento informa immediatamente il Titolare del
trattamento qualora, a suo parere, un'istruzione violi il regolamento o le
disposizioni UE o degli Stati membri concernenti la protezione dei dati.
49

Designazioni Responsabili e divieto di nomina a «cascata»:
Il responsabile del trattamento non ricorre ad un altro responsabile senza previa
autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso
di autorizzazione scritta generale, il responsabile del trattamento informa il
titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la
sostituzione di altri responsabili del trattamento, dando così al titolare del
trattamento l'opportunità di opporsi a tali modifiche.
Quando un responsabile del trattamento ricorre a un altro responsabile del
trattamento per l'esecuzione di specifiche attività di trattamento per conto del
titolare del trattamento, su tale altro responsabile del trattamento sono
imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in
materia di protezione dei dati contenuti nel contratto o in altro atto
giuridico tra il titolare del trattamento e il responsabile del trattamento,
prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche
e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
regolamento.
50

La disciplina è molto più dettagliata rispetto a quella del Codice
Privacy che si limitava a richiedere l’analitica specificazione:
- dei compiti affidati al responsabile;
- delle istruzioni impartite dal titolare.
Tra gli obblighi documentali, cui il Regolamento attribuisce
grande rilievo, è prescritto ad entrambe le parti di documentare
per iscritto le istruzioni del titolare del trattamento e gli obblighi
del responsabile del trattamento. La conservazione della
documentazione assume, di conseguenza, una notevole
importanza (ciò tiene conto del principio di rendicontazione,
ovvero l’adozione di politiche interne e di meccanismi atti a
garantire e dimostrare il rispetto del regolamento).
51

- Qualora l'altro responsabile del trattamento ometta di adempiere ai propri
obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei
confronti del titolare e del trattamento l'intera responsabilità dell'adempimento
degli obblighi dell'altro responsabile;
- L'applicazione da parte del responsabile del trattamento di un codice di
condotta o di un meccanismo di certificazione può essere utilizzata come
elemento per dimostrare le garanzie sufficienti;
- Fatto salvo un contratto individuale tra il titolare del trattamento e il
responsabile del trattamento, il contratto o altro atto giuridico può basarsi, in
tutto o in parte, su clausole contrattuali tipo;
- Il contratto o altro atto giuridico è stipulato in forma scritta, anche in formato
elettronico;
- Se un responsabile del trattamento viola il regolamento, determinando le
finalità e i mezzi del trattamento (in maniera autonoma), è considerato un
titolare del trattamento in questione.
52

Ai sensi di quanto previsto nel Regolamento UE si pone, quindi,
in primo piano il problema della corretta contrattualizzazione
dei rapporti tra i soggetti titolari/contitolari/responsabili/sub-
responsabili coinvolti i quali, a seconda dello specifico
trattamento effettuato, concorreranno a vario titolo nella gestione
delle attività di trattamento (in quanto insieme o separatamente
possono determinano le finalità, le condizioni e i mezzi del
trattamento).
La mancata contrattualizzazione o la mancanza di chiarezza nella
contrattualizzazione (anche in materia di adozione di specifiche
misure di sicurezza), possono implicare una responsabilità
solidale tra i corresponsabili (vd. art. 82, paragrafo 4 e 5).
53

Importanza del contratto
Diritto al risarcimento e
responsabilità
1. Chiunque subisca un danno materiale o immateriale [patrimoniale e non
patrimoniale] cagionato da una violazione del presente regolamento ha il diritto
di ottenere il risarcimento del danno dal titolare del trattamento o dal
responsabile del trattamento.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure un
titolare del trattamento e un responsabile del trattamento siano coinvolti nello
stesso trattamento e siano responsabili dell'eventuale danno cagionato dal
trattamento, ogni titolare del trattamento o responsabile del trattamento
risponde per l'intero ammontare del danno, al fine di garantire il risarcimento
effettivo dell'interessato.
54

RESPONSABILITA’:
 un titolare del trattamento coinvolto nel trattamento risponde per il
danno cagionato dal suo trattamento non conforme al presente
regolamento;
 un responsabile del trattamento risponde per il danno cagionato dal
trattamento solo se non ha adempiuto gli obblighi del presente
regolamento specificatamente diretti ai responsabili del trattamento o
ha agito in modo esterno o contrario alle legittime istruzioni del titolare
del trattamento.
Il titolare del trattamento o il responsabile del trattamento è
esonerato dalla responsabilità se dimostra che l'evento
dannoso non gli è in alcun modo imputabile
55

ISO/IEC 29100 – Parallelo al GDPR
56
Framework per la protezione dei dati personali trattati con sistemi informativi
 Definizione di termini (vocabolario) condivisi per il trattamento delle PII
 Individuazione di attori e ruoli per la gestione dei PII
 Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII
 Classificazione delle PII
 Considerazioni su metadati e PII non richieste
 Tecniche di anonimizzazione o associazione a pseudonimi
 Gestione dei rischi relativi alla privacy
 Misure di sicurezza per far fronte ai rischi individuati
 Privacy policy
Liberamente disponibile in inglese e (a pagamento) in italiano

Agenda e relatori
57
audit
informazioni

Relatore
58
Luciano QUARTARONE
 Lead Auditor 27001, ITIL
 Membro del CT 510 di UNINFO "Sicurezza"
 Senior Information Security consultant at BL4CKSWAN S.r.l.

Fatturazione e Firme Elettroniche
Cosa intendiamo con i termini
«Fattura elettronica» e
«Firma Elettronica»?
Fattura elettronica: è un documento in
formato digitale caratterizzato dalla presenza
di una firma elettronica che ne garantisce
autenticità ed integrità, che viene trasmesso
ad uno specifico sistema di interscambio;
Documento digitale (informatico): la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti;
Autenticità (del documento informatico): caratteristica di un documento informatico
che garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni o
modifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore e
l'integrità del documento informatico;
Integrità (del documento informatico): insieme delle caratteristiche di un documento
informatico che ne dichiarano la qualità di essere completo ed inalterato;
Sistema di interscambio: è la piattaforma che trasmette la fattura dal fornitore al
«committente» (PA o privato);
59

Come funziona le fattura elettronica?
PRODOTTE TRASMESSE
Le fatture elettroniche vengono prodotte,
trasmesse, archiviate e conservate…
CONSERVATE
in formato XML secondo una struttura
ed una sintassi stadardizzata che ne
garantiscono l’interoperabilità.
60

PRODURRE una fattura elettronica…
Vuol dire predisporre il singolo file fattura od un
insieme di file fattura per l’invio al Sistema di
interscambio usando il formato XML definito dagli
standard di riferimento secondo la nomenclatura
prevista
XML XSL HTML+ =
61

PRODURRE una fattura elettronica…
…vuol dire anche firmare digitalmente il singolo file
fattura o l’insieme di file fattura prima dell’invio al
sistema di interscambio
La firma elettronica apposta alla fattura elettronica
garantisce:
• l’integrità delle informazioni contenute nella
fattura;
• l’autenticità di chi emette la fattura;
I formati di firma supportati sono:
• CAdES-BES (ETSI TS 101 733 V1.7.4);
• XAdES-BES (ETSI TS 101 903 V1.4.1).
62

TRASMETTERE una fattura elettronica…
Vuol dire inviare al Sistema di interscambio il file
prodotto e firmato, utilizzando una delle modalità
previste:
Posta Elettronica Certificata (PEC)
garantisce l’invio e la ricezione del messaggio, attestandone la
validità legale;
Invio Web (tramite il sito fatturapa.gov.it)
usando CNS abilitata per i servizi telematici dell’Agenzia delle
Entrate;
Invio tramite SDICoop (web-services)
• SdIRiceviFile;
• TrasmissioneFatture
63
Invio tramite SDIFTP
utilizza il protocollo FTP per l’invio e la ricezione dei file
Invio tramite SPCoop-Trasmissione (web-services)
utilizza webservices su sistema SCP

Il Sistema di Interscambio…
64
Produttore DestinatarioSDI
1. Invio del file fattura
2. Esegue controlli
3(a). Su errori, Notifica di scarto 3(b). Inoltra per l’elaborazione
4(a). Su errori,
Notifica mancata consegna
4(b). Ricevuta di consegna
5. Notifica esito Committente
6(b). Notifica esito 6(a). Su errori,
Scarto esito Committente
7. Se Destinatario non segnala nulla entro 15 gg, SDI inoltra
Notifica decorrenza termini
8. Trascorsi 10gg da «Mancata Consegna», in presenza di errori SDI inoltra
Attestazione di avvenuta trasmissione con impossibilità di recapito

CONSERVARE una fattura elettronica…
obbligo sia per i soggetti attivi, sia per i soggetti
passivi.
Chi emette fattura alla PA è tenuto alla
conservazione anche di tutte le ricevute rilasciate
dal Sistema di Interscambio.
65

«Fattura elettronica» e
«Firma Elettronica»?
Firma elettronica: l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione
informatica;
Identificazione informatica: la validazione dell'insieme di dati attribuiti in modo esclusivo
ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi,
effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza
dell'accesso;
Certificato qualificato: il certificato elettronico
conforme ai requisiti di cui all'allegato I della
direttiva 1999/93/CE, rilasciati da certificatori che
rispondono ai requisiti di cui all'allegato II della
medesima direttiva;
66

67
firma elettronica: l'insieme dei dati
in forma elettronica, allegati oppure
connessi tramite associazione logica
ad altri dati elettronici, utilizzati
come metodo di identificazione
informatica;
firma elettronica avanzata: insieme di
dati in forma elettronica allegati
oppure connessi a un documento
informatico che consentono
l'identificazione del firmatario del
documento e garantiscono la
connessione univoca al firmatario,
creati con mezzi sui quali il firmatario
può conservare un controllo
esclusivo, collegati ai dati ai quali
detta firma si riferisce in modo da
consentire di rilevare se i dati stessi
siano stati successivamente
modificati;
firma elettronica qualificata: un
particolare tipo di firma elettronica
avanzata che sia basata su un
certificato qualificato e realizzata
mediante un dispositivo sicuro per
la creazione della firma;
firma digitale: un particolare tipo di
firma elettronica avanzata basata su
un certificato qualificato e su un
sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra
loro, che consente al titolare tramite
la chiave privata e al destinatario
tramite la chiave pubblica,
rispettivamente, di rendere manifesta
e di verificare la provenienza e
l'integrità di un documento
informatico o di un insieme di
documenti informatici;
firma remota: particolare procedura
di firma elettronica qualificata o di
firma digitale, generata su HSM, che
consente di garantire il controllo
esclusivo delle chiavi private da
parte dei titolari delle stesse;
firma automatica: particolare
procedura informatica di firma
elettronica qualificata o di firma
digitale eseguita previa
autorizzazione del sottoscrittore che
mantiene il controllo esclusivo delle
proprie chiavi di firma, in assenza di
presidio puntuale e continuo da
parte di questo;
Firma Elettronica
Firma Elettronica Avanzata
Firma Elettronica
Qualificata
Firma Digitale
Firma Remota
Firma Automatica

68
…eIDAS
REGOLAMENTO (UE) N. 910/2014
DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO
del 23 luglio 2014
in materia di identificazione
elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato
interno e che abroga la direttiva
1999/93/CE
Firma Elettronica
Firma Elettronica
Qualificata
Firma Digitale
Firma Remota
Firma Automatica

69
…eIDASFirma Elettronica
Firma Elettronica Qualificata
Sigillo Elettronico dati in forma elettronica, acclusi
oppure connessi tramite associazione
logica ad altri dati in forma elettronica
per garantire l’origine e l’integrità di
questi ultimi
Sigillo Elettronico Avanzato un sigillo elettronico che soddisfi i
requisiti sanciti all’articolo 36
Sigillo Elettronico Qualificato un sigillo elettronico avanzato creato
da un dispositivo per la creazione di un
sigillo elettronico qualificato e basato
su un certificato qualificato per sigilli
elettronici

«Formati di Firma» e «Tipologia di Firma»
70
Quanto visto fino ad ora, rappresenta l’insieme (non esaustivo) delle
TIPOLOGIE di firma, ma esistono diversi FORMATI di firma il cui utilizzo
non è sempre «interscambiabile»…
AdES - Advanced Electronic Signature
CAdES
XAdES
PAdES
ASiC
.p7m
.xml
.pdf
CMS*
XML
PDF
* Cryptographic Message Syntax

Formati di Firma
71
Ogni formato di firma, è organizzato
in una BUSTA CRITTOGRAFICA
modulare che permette di ottenere
delle firme con caratteristiche anche
molto differenti fra loro. La struttura
base utilizza il PKCS#7 (RFC2315*)
che è lo standard RSA di riferimento
per la sintassi dei messaggi
crittografici.
* https://tools.ietf.org/html/rfc2315
HEADER PKCS#7
DOCUMENTO ORIGINALE
HASH DOCUMENTO
CERTIFICATO FIRMATARIO
CERTIFICATO CA

CAdES…
72
Signer’s
Document
Signed
Attribute
Digital Signature
CAdES BES
signature-
timestamp
CAdES-T
Complete certificate and revocation referencesCAdES-C
Complete Certificate and Revocation DataCAdES-X Long
…e continua…
PKCS#7

… ed in pratica, che aspetto ha la firma elettronica?
73
1) Consideriamo un generico documento pdf …
+ CAdES =
volantino.pdf volantino.pdf.p7m

74
2) Consideriamo un generico documento pdf …
+ PAdES =
volantino.pdf Volantino-signed.pdf

75
3) Consideriamo un generico file xml
+ XAdES =
Fattura.xml Fattura-signed.xml

Quali altre opportunità?
76
• Implementata come una FEA, permette di
firmare su tablet, smartphone, tavolette
grafiche…
• Non solo firma «manoscritta», ma tutto ciò
che «biometrico» (ISO/IEC 19794) può
essere usato come forma di autenticazione
e come fattore abilitante per la
sottoscrizione di documenti.
• Occorre considerare le implicazioni Privacy
dovute al trattamento di dati sensibili.
…Firma Grafometrica
Vengono catturate e memorizzate
alcune caratteristiche uniche nel loro
insieme…
1. Posizione;
2. Tempo;
3. Pressione;
4. Velocità
5. Accelerazione

Quali elementi caratteristici posso
ricercare per selezionare i profili
professionali più adatti alla mia
azienda per proteggere le
informazioni aziendali?
Profili Professionali per la
77
Seniority? Ethical hacking? Programmazione?
Lingue? Diritto Amministrativo? …

78
European e-Competence Framework
COMPETENZE abilità di applicare conoscenze, capacità
e attitudine per raggiungere risultati osservabili;
CAPACITA’ … di svolgere compiti gestionali o tecnici;
CONOSCENZE rappresenta l’insieme di “cose note”
che possono essere indicate da descrizioni
operazionali;

79
[…]un modo per esprimere la capacità di un professionista ICT e perciò
fornisce un modo di riconoscere i gap di skill e conoscenze che possono
essere richieste per migliorare le performance del singolo e quindi
dell’organizzazione.
(fonte: European ICT Professional Profiles based on the e-CF)

80
5 aree di
competenza
(PLAN, BUILD, RUN,
ENABLE, MANGE)
36 e-Competence
(40 nella v3)
5 livelli di abilità
Esempi di Abilià e Conoscenze
Dimensione 4
Dimensione 3
Dimensione 2
Dimensione 1

81
European e-Competence Framework - esempio
FonteCWA_16234-1

82
Quadro normativo italiano
Disposizioni in materia di professioni non organizzate, Legge n°4, 14/1/2013
6.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a norme
tecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base delle
linee guida CEN 14 del 2010
6.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione verso
l'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali che
disciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano la
qualificazione.
9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaborano
all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso la
partecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propri
contributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensualità, democraticità
e trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi di
certificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza,
imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantiti
dall'accreditamento di cui al comma 2.

83
La normativa tecnica UNI – UNI 11506
"Attività professionali non regolamentate – Figure professionali operanti nel
settore ICT – Definizione dei requisiti di conoscenza, abilità e competenze»
• Recepisce in toto e-CF 2.0
• Ufficializza la traduzione di e-CF 2.0 in italiano
• Aggiunge gli elementi necessari per una qualificazione delle competenze:
• §6 Elementi per la valutazione e convalida dei risultati
dell'apprendimento (metodi di valutazione e organizzazione che effettua
la convalida)
• §7 Aspetti etici e deontologici applicabili

84
La normativa tecnica UNI – UNI 11621

85
La normativa tecnica UNI – UNI 11621-4
Profili Professionali relativi alla Sicurezza delle Informazioni

86
UNI – UNI 11621-4

88
Contatti e ringraziamenti
UNINFO
http://www.uninfo.it/
uninfo@uninfo.it
Corso Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837
Relatori:
Cesare GALLOTTI
cesaregallotti@cesaregallotti.it
Graziano GARRISI
grazianogarrisi@studiolegalelisi.it
Fabio GUASCONI
fabio.guasconi@bl4ckswan.com
Luciano QUARTARONE
luciano.quartarone@bl4ckswan.com
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit

Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

Similar to Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere (20)

More from uninfoit

More from uninfoit (20)

Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere