Intervento del Presidente Squillace all'evento "Safety e Security negli impianti automatizzati" per la consegna degli AI - Award 2016 (cfr. http://www.automazioneindustriale.com/convegno-safety-e-security-negli-impianti-automatizzati-milano-29-novembre-2016/ )
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Conferenza Nazionale NIS e GDPR - Tor Vergatauninfoit
Mie slide dell'intevento all'interno della Tavola rotonda “Associazioni di settore e Ordini professionali: competenze, piani di formazione, certificazioni”
Intervento del Presidente Squillace all'evento "Safety e Security negli impianti automatizzati" per la consegna degli AI - Award 2016 (cfr. http://www.automazioneindustriale.com/convegno-safety-e-security-negli-impianti-automatizzati-milano-29-novembre-2016/ )
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Conferenza Nazionale NIS e GDPR - Tor Vergatauninfoit
Mie slide dell'intevento all'interno della Tavola rotonda “Associazioni di settore e Ordini professionali: competenze, piani di formazione, certificazioni”
2019: un anno di innovazione e di evoluzione della sicurezza digitale e un’anteprima della situazione degli attacchi digitali in Italia dall’indagine 2019 OAD
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
Aggiornamento sulle attività nazionali per schemi di certificazione dei professionisti che operano nell'ambito della protezione dei dati personali e delle organizzazioni in base al nuovo Regolamento UE 2016/679.
Sicurezza fisica e security informatica: a Expo
Milano 2015 la protezione di persone, risorse, dati
e dispositivi è stata un fattore chiave per la riuscita
della manifestazione. Dalla video-sorveglianza alla
prevenzione degli attacchi alla componente digitale,
la rete IP Cisco, la sicurezza pervasiva e multilivello
e una task force dedicata al monitoraggio dell’intera
infrastruttura hanno consentito agli organizzatori
di dedicarsi agli aspetti operativi potendo contare
sull’incolumità dell’evento.
Intervento di Claudio Telmon, Clusit - Associazione Italiana per la Sicurezza Informatica, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
2019: un anno di innovazione e di evoluzione della sicurezza digitale e un’anteprima della situazione degli attacchi digitali in Italia dall’indagine 2019 OAD
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
Aggiornamento sulle attività nazionali per schemi di certificazione dei professionisti che operano nell'ambito della protezione dei dati personali e delle organizzazioni in base al nuovo Regolamento UE 2016/679.
Sicurezza fisica e security informatica: a Expo
Milano 2015 la protezione di persone, risorse, dati
e dispositivi è stata un fattore chiave per la riuscita
della manifestazione. Dalla video-sorveglianza alla
prevenzione degli attacchi alla componente digitale,
la rete IP Cisco, la sicurezza pervasiva e multilivello
e una task force dedicata al monitoraggio dell’intera
infrastruttura hanno consentito agli organizzatori
di dedicarsi agli aspetti operativi potendo contare
sull’incolumità dell’evento.
Intervento di Claudio Telmon, Clusit - Associazione Italiana per la Sicurezza Informatica, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Cos’è la sicurezza informatica
Cenni di crittografia
Sicurezza nel web:
Autenticazione e Autorizzazione
Esempi di autenticazione (form login, token base etc etc)
Esempi di attacchi a siti web: come difendersi?
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
Presentazione tenuta all'ICT Security Forum 2013 concernente le minacce ai dati sensibili aziendali e alcune possibili strategie di protezione che cercano di superare i limiti delle soluzioni tecnologiche ormai consolidate.
Descrive le metodologie e il cambio di paradigma all'approccio delle verifiche di sicurezza su infrastrutture complesse come gi servizi / ecosistemi IoT.
Cyber Security Threats for Healthcare
Author: Pierguido Iezzi
Abstract: La digital evolution del mondo sanitario deve affrontare i vecchi e i nuovi rischi del Cybercrime. I nuovi cyberattack sono multidisciplinari e interdisciplinari. Una combinazione di Hardware Hacking associate a metodologie di Mobile & IOT Hack con phishing. Quali sono i rischi per il mondo Sanitario? Scopriamo insieme cosa ci aspetta il futuro prossimo per poter definire le corrette strategie di difesa e di gestione della CyberSecurity in ambito Healthcare.
https://www.swascan.com
Similar to Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere (20)
Seminario IIOT: "Normative, architetture e protocolli" tenutosi all'Ordine degli Ingegneri di Bergamo il 5 dicembre 2019.
Il seminario si propone di analizzare gli aspetti della normativa, gli incentivi legati a Industria 4.0 e una panoramica relativa ai protocolli e architetture in ambito IIOT e sensoristica
Intervento del presidente UNINFO al workshop: "Il ruolo della normazione tecnica per la competitività dell'industria italiana" presso l'Università di Firenze in collaborazione con AIDI
"Blockchain, EIDAS e protezione dei dati personali: come sta progredendo la normazione tecnica?"
Grazie al coinvolgimento di una serie di esperti UNINFO direttamente coinvolti nelle diverse commissioni tecniche č possibile ricostruire un quadro delle piů recenti evoluzioni su temi di ampio interesse quali la Blockchain, l'attuazione del regolamento EIDAS e la protezione dei dati personali, sia in ambito nazionale che in ambito internazionale.
Relatori: Fabio Guasconi, Andrea Caccia, Dorotea De Marco e Daniele Tumietto
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San Marinouninfoit
Gli Standard, questi sconosciuti!
Li usiamo nella realtà di ogni giorno, ci rendono la vita più semplice ma solo alcuni sono noti.
Alcuni esempi di utili sconosciuti: ISO/IEC 7810, UNI 10607 e ISO/IEC 13818. Lo scopo di questo breve intervento è quello di (cercare di) rispondere alle domande: cosa è uno Standard, come nasce una norma tecnica, perchè è importante, quali sono gli organismi che le sviluppano.
E solo alla fine svelare gli Standard citati cosa fanno!
2. Agenda e relatori
2
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni
3. Agenda e relatori
3
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni
4. Relatore
4
Fabio GUASCONI
Direttivo di UNINFO
Presidente del CT 510 di UNINFO "Sicurezza"
Membro del CT 526 di UNINFO "APNR"
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
5. Sicurezza di cosa? Intendiamoci ...
5
Sicurezza delle informazioni
Preservazione della riservatezza, dell’integrità
e della disponibilità delle informazioni
Disponibilità
Proprietà di essere accessibile e usabile a
richiesta di un’entità autorizzata
Integrità
Proprietà relativa all’accuratezza e alla
completezza
Riservatezza
Proprietà delle informazioni di non essere
rese disponibili o divulgate a individui, entità
o processi non autorizzati
7. Da cosa ci difendiamo?
7
Presenza web
Siti vetrina o e-commerce
Posta elettronica
Accesso remoto a file e sistemi
Progettazione
Specifiche di prodotto / disegni
Know-how aziendale
Amministrazione e contabilità
Accesso ai conti aziendali
Dati personali dei dipendenti
Budget e dati finanziari
Management
Strategie aziendali
Legale rappresentanza
Produzione
Sistemi tecnologici
Commerciale
Dati dei Clienti
Malware
Sabo-
taggio
Attacchi
web-based
DoS
Phishing
DoS
Furto
identità
9. Ma a noi interessa davvero?
9
Phishing su Internet Banking
1) Creazione di un sito web più possibile
similare a quello legittimo
2) Invio indiscriminato (se mirato si
tratta di spear-phshing) di email
contraffatte che portano l’utente
verso il sito web contraffatto
3) Raccolta di credenziali valide degli
utenti tramite sito web contraffatto
4) Riuso delle credenziali raccolte sul sito
legittimo / su altri siti per transazioni
illecite
http://www.sonicwall.com/phishing/
10. Ma a noi interessa davvero?
10
Cryptolocker
1) Apertura di allegato di email
infetto o consultazione di sito
web con contenuti malevoli
2) Cifratura dei contenuti del disco
locale e dei dischi di rete
acceduti
3) Richiesta di riscatto in Bitcoin (o
altra valuta non tracciabile) per
avere le chiavi di decifratura da
parte del malware entro 3 o 4
giorni di tempo
11. Ma a noi interessa davvero?
11
Attacco per finto bonifico
1) Compromissione o registrazione di
dominio di posta elettronica di un
fornitore
2) Apertura di un conto ponte che non
desti sospetti
3) Invio di email per richiesta di modifica
del conto registrato per i pagamenti
verso un cliente
4) Incasso del bonifico e spostamento di
denaro su conto off-shore
12. Ma a noi interessa davvero?
12
D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai?
R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non subire danni
come una grande azienda. Pochi danni = poco risalto sui mass media
D: Noi non abbiamo mai avuto problemi di questo tipo™, perché?
R: Due cause sono quelle più plausibili:
1) avete avuto MOLTA fortuna
2) non ve ne siete mai accorti
D: Quelle per la sicurezza informatica non sono altre spese inutili?
R: Le spese fatte senza solidi criteri o per mettere a posto i danni tendono ad essere
inutili, un sensato livello di protezione è anche economicamente efficace.
13. Come ci difendiamo
13
Riduciamo la lunghezza delle nostre mura e consolidiamole
Dove sono le informazioni aziendali?
Chi vi deve poter accedere?
Possono essere accentrate e messe sotto controllo?
14. Come ci difendiamo
14
Adottiamo misure di igiene informatica su tutti i sistemi aziendali.
Parliamo di misure di:
Antimalware
Autenticazione
Aggiornamento
Backup
Cifratura
Limitazione della connettività
Limitazione dei privilegi
16. Come ci difendiamo
16
Informiamo e formiamo
periodicamente il nostro personale:
su cosa devono fare
per stare in sicurezza (v. uso delle
password)
su cosa non devono fare per
evitare le minacce (v. phishing)
sul perché la sicurezza delle
informazioni è importante (v.
giornata odierna)
17. Come ci difendiamo
17
I temi da toccare sono diversi e coinvolgono non solo i tecnici (o i fornitori)
informatici ma tutta l’azienda, ognuno per il suo.
Per essere efficaci è necessario un APPROCCIO COMPLESSIVO alla sicurezza …
e, vista la complessità dei temi, non è necessario inventarselo da capo
18. Agenda e relatori
18
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni
19. Una «norma» è una specifica tecnica, adottata da un organismo di
normazione riconosciuto, per applicazione ripetuta o continua, alla quale non
è obbligatorio conformarsi, e che appartenga a una delle seguenti categorie:
a) «norma internazionale»: una norma adottata da un organismo di
normazione internazionale;
b) «norma europea»: una norma adottata da un’organizzazione europea di
normazione;
c) «norma armonizzata»: una norma europea adottata sulla base di una
richiesta della Commissione ai fini dell’applicazione della legislazione
dell’Unione sull’armonizzazione;
d) «norma nazionale»: una norma adottata da un organismo di normazione
nazionale.
Standard? Norma tecnica?
19
Dal Regolamento UE 1025/2012:
20. Principi alla base delle norme
20
DEMOCRAZIA
• Tutte le parti interessate possono partecipare ai lavori di
normazione
CONSENSO
• I lavori progrediscono attraverso il consenso dei
partecipanti ai lavori
VOLONTARIETÀ
• Le norme sono il punto di riferimento che tutte le parti
interessate adottano spontaneamente
TRASPARENZA
• L'Ente di normazione rende noti i passaggi di approvazione
a tutte le parti interessate
21. Benefici derivanti dall'uso delle norme
21
1 Le norme sono scritte da esperti della cui competenza si può
beneficiare direttamente facendovi riferimento, senza necessità di
avvalersi della loro collaborazione diretta
2 Le norme, soprattutto se internazionali, sono adottate da diversi
enti e mercati, formando una base comune per l'interscambio di
beni e servizi con caratteristiche omogenee
3 Un incremento dell'uso delle norme permette una maturazione ed
un aumento dell'efficacia produttiva di un mercato
22. Norme e Leggi
22
è volontaria
è frutto di un processo basato
sul concetto di consenso
è uno strumento di
trasferimento tecnologico
è pubblicata da un Ente di
normazione
è obbligatoria
è frutto di un processo basato
sul concetto di rappresentanza
è uno strumento di
regolamentazione del mercato
è pubblicata da un organismo
governativo in Gazzetta Ufficiale
o in un atto legislativo
Regola TecnicaNorma Tecnica
23. Chi sviluppa le norme in Italia
23
CIG
(Gas)
CTI
(Termotecnico)
CUNA
(Automobilistico)
UNISIDER
(Metallurgico)
UNIPLAST
(Materie
plastiche)
UNICHIM
(Chimico)
UNINFO
(ICT)
24. UNINFO
24
“UNINFO è una libera Associazione a carattere tecnico-scientifico
e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge
di promuovere, realizzare e diffondere la normazione tecnica nel
settore delle tecnologie dell'informazione e delle comunicazioni (in
breve ICT) e delle loro applicazioni, sia a livello nazionale che
europeo ed internazionale.”
Estratto dallo Statuto UNINFO
25. Attività di UNINFO
25
Tra gli ambiti normati da UNINFO:
Automazione (Telepass)
Codifica video (MPEG)
Fatturazione elettronica
Formati dei documenti (ODF, OOXML, ePUB)
Profili professionali
Sicurezza Informatica
26. Attività di UNINFO
26
Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+)
• Sistemi di gestione per la sicurezza delle informazioni (27001, 27002)
• Linee guida per i sistemi di gestione (2700X)
• Linee guida di settore (2701X)
• Linee guida per la sicurezza (2703X-2704X)
• Certificazione della sicurezza dei prodotti (15408, 18045)
• Autenticazione e biometria (2476X)
• Protezione dei dati personali (291XX)
• Crittografia (979X, 18033)
• Modelli di maturità ICT (21827)
27. Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).
• Applicabile a realtà di ogni dimensione
• Quasi 20 anni di esistenza sul mercato
• Ambito definibile a piacimento
• Approccio ciclico (PDCA)
• Costituisce un framework completo
• Dice cosa fare, non come farlo
• Rivolto al miglioramento continuo
• E’ un riferimento universale e certificabile
ISO/IEC 27001
27
28. PDCA e ISO/IEC 27001
28
P
D
C
A
4
contesto
5
leadership
6
pianificazione
7
supporto
8
attività
operative
9
valutazione
prestazioni
10
miglioramento
Appendice
A
30. Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla
sicurezza delle informazioni, così specificato genericamente nella ISO 31000:
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
Analisi del rischio secondo ISO/IEC 27001:2013
30
Definizione
del contesto
Valutazione
del rischio
Trattamento
del rischio
32. E’ possibile, ma assolutamente non obbligatorio, raggiungere una
certificazione di terza parte una volta che si è adottata la norma.
La certificazione, oltre a essere utile per partecipare a gare, permette un
ritorno d’immagine per gli investimenti effettuati.
Certificazione di un SGSI
32
33. Certificazione di un SGSI
33
Check
ActPlan
Do
1° Anno 2° Anno 3° Anno
Audit di
Certificazione
Audit di
Mantenimento
Check
ActPlan
DoCheck
ActPlan
DoCheck
ActPlan
Do
Impostazione
Audit di
Mantenimento
Audit di
Certificazione
34. Quaderno UNINFO
34
La gestione della sicurezza delle informazioni e della privacy nelle PMI
ISO/IEC 27001, normativa privacy e PMI
Pubblicato il 27/09/2012 su iniziativa italiana,
liberamente scaricabile da:
http://tinyurl.com/jj2s537
35. Agenda e relatori
35
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni
36. Relatore
36
Graziano GARRISI
Avvocato del foro di Lecce
Consulente privacy ed esperto in diritto delle nuove tecnologie - Studio
Legale Lisi e Digital & Law Department Srl
Socio fondatore e membro del Direttivo di ANORC (Associazione
Nazionale per Operatori e Responsabili della Conservazione Digitale)
Membro del Consiglio Direttivo di ANORC Professioni
Membro del CT 526 di UNINFO - GL 03 "Profili professionali relativi alla
privacy"
37. La Commissione Europea considera il regolamento europeo,
in quanto self-executing, come lo strumento più idoneo per
definire il quadro giuridico per la protezione dei dati personali
nell’UE. In quanto l’applicabilità diretta del regolamento negli
Stati membri ridurrà la frammentazione giuridica e offrirà
maggiore certezza giuridica, migliorando la tutela dei diritti
fondamentali delle persone fisiche e contribuendo al corretto
funzionamento del mercato interno.
Regolamento UE n. 2016/679
Regolamento del Parlamento europeo e del Consiglio concernente la
tutela delle persone fisiche con riguardo al trattamento dei dati personali
e la libera circolazione di tali dati (Regolamento generale sulla
protezione dei dati)
37
38. Il Regolamento:
- abroga la vecchia direttiva 95/46/CE, recepita nei
vari Stati membri e anche nel nostro ordinamento
con il d.lgs. 196 del 2003 (Codice Privacy)
- non semplificherà l’attuale disciplina né ridurrà gli
oneri a carico dei titolari del trattamento, al
contrario introdurrà nuovi adempimenti e differenti
modelli organizzativi
- Esecutività (Regolamento): 2 anni da entrata in
vigore (= primavera 2018) E nel frattempo?
38
39. Regolamento UE n. 2016/679:
Diritti interessati: Trattamenti ulteriori, portabilità,
«oblio»
Obblighi titolari: Approccio basato sul rischio (privacy
by design, DPO, valutazione di impatto, notifica data
breach, trasferimento dati in Paesi extra UE,
certificazione…) + «Accountability»
Ruolo Autorità: Sportello unico e meccanismo di
coerenza (il Board), Sistema sanzionatorio
39
40. Regolamento Europeo: nuovo approccio alla protezione del dato
Adeguamento delle misure di sicurezza al nuovo contesto: nuove
tecnologie ed evoluzione del cyber crime
Enfatizzati i principi della vecchia direttiva EU
Richiesto un approccio sistemico alla sicurezza e alla protezione del dato
Richiamo alla RISK ANALISYS diffuso (misure di sicurezza, PIA)
Richiesta l’efficacia e l’adozione preventiva
Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza
Ricorso alla Certificazione come strumento per la compliance (ISO/IEC 29100)
40
41. ISO/IEC 29134: Privacy Impact Assessment
41
Preparazione della PIA
• Necessità
• Team
• Pianificazione
• Stakeholder
Esecuzione della PIA
• Flussi informativi
• Casi d'uso
• Contromisure esistenti
• Valutazione del rischio
• Trattamento del rischio
Follow-up
• Report
• Implementazione del piano
• Audit
• Gestione dei cambiamenti
alla PIA
42. Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali;
b) La capacità di assicurare su base permanente la riservatezza, l’integrità,
la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a situazioni
avverse per garantire disponibilità dei servizi erogati)
c) La capacità di ripristinare tempestivamente la disponibilità e l’accesso
dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
d) Una procedura per testare, verificare e valutare regolarmente l’efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza
del trattamento
(vd. ISO/IEC 27001)
RISKANALISYS,DR,ISO
42
43. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati da trattamenti di dati derivanti in particolare dalla distruzione,
dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in
modo accidentale o illegale, a dati personali trasmessi, memorizzati o comunque
trattati.
3. L'adesione a un codice di condotta approvato ai sensi dell'articolo 40 o a un
meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere
utilizzata come elemento per dimostrare la conformità ai requisiti di cui al
paragrafo 1.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque
agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se
non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell'Unione o degli Stati membri.
Attenzione: una descrizione generale delle misure di sicurezza tecniche e
organizzative (di cui all'articolo 32, paragrafo) deve essere mantenuta all’intero dei
«Registri delle attività di trattamento»
43
44. MISURE DI SICUREZZA (nel D.Lgs. 196/2003)
TRE OBBLIGHI per i titolari del trattamento:
1. prevedere misure di sicurezza idonee a ridurre i rischi
2. adottare in ogni caso le “misure minime” previste dal Codice, e
quindi di assicurare comunque un livello minimo di protezione
dei dati personali
3. adottare le misure “necessarie” prescritte dal Garante ai sensi
dell’art. 154, comma 1, lett. c (Provvedimenti generali o specifici
nei confronti di singoli Titolari del trattamento)
Queste misure di sicurezza per il momento non vengono meno!
44
45. Viene ridisegnato l’organigramma privacy, con l’introduzione di nuove
figure soggettive e l’attribuzione di nuovi compiti e responsabilità:
• Titolare del trattamento (data controller);
• Contitolare (joint controller);
• Responsabile del trattamento (data processor);
• Sub-responsabile (subprocessor);
• Responsabile della protezione dei dati o Data Protection Officer (DPO).
I RUOLI e LE RESPONSABILITA’:
45
46. Il Regolamento Europeo: il Titolare
Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità
del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche
Art.22
Il titolare del trattamento mette in atto misure
tecniche e organizzative
(riesaminate/aggiornate se necessario) adeguate
per garantire ed essere in grado di dimostrare
che il trattamento dei dati personali è effettuato
conformemente al Regolamento.
Conserva la
documentazione e un
registro delle attività di
trattamento
mette in atto
meccanismi per
assicurare la verifica
dell’efficacia delle
misure
Attua i requisiti di
sicurezza dei dati
nomina il DPO
esegue la valutazione d’impatto
sulla protezione dei dati
(e chiede un parere al DPO)
nomina i Responsabili e fornisce
istruzioni ai dipendenti
Politiche adeguate in
materia di protezione dei
dati da parte del titolare
del trattamento
46
47. L'esecuzione dei trattamenti su commissione è disciplinata
da un contratto o da altro atto giuridico che vincoli il
Responsabile del trattamento al Titolare del trattamento, in
cui siano stipulati la materia disciplinata e la durata del
trattamento, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i
diritti del titolare del trattamento.
Il Regolamento Europeo: il Responsabile
Art. 28, paragrafo 3
47
48. Contenuto del contratto (o altro atto giuridico) tra Titolare e Responsabile:
a) tratta i dati personali soltanto su istruzione documentata del titolare del
trattamento (anche in caso di trasferimento di dati personali verso un paese
terzo o un'organizzazione internazionale: l'incaricato informa il responsabile
circa tale obbligo giuridico prima del trattamento dei dati);
b) garantisce che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) prenda tutte le misure (di sicurezza) richieste ai sensi dell'articolo 32;
d) rispetta le condizioni per ricorrere a un altro responsabile del trattamento;
e) tenuto conto della natura del trattamento, assiste il titolare con misure
tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al
fine di soddisfare l'obbligo del titolare di dare seguito alle richieste per
l'esercizio dei diritti dell'interessato.
48
49. f) assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione dell'incaricato del trattamento (Misure di
sicurezza, Notificazione e Comunicazione data breaches, PIA e
Consultazione preventiva);
g) cancella o restituisce tutti i dati personali dopo che è terminata la prestazione
dei servizi di trattamento di dati e cancella le copie esistenti (su scelta del
responsabile del trattamento), salvo che il diritto dell'Unione o degli Stati
membri preveda la memorizzazione dei dati;
h) mette a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e
consente e contribuisce alle attività di revisione (audit), comprese le ispezioni,
realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
N.B.:Il Responsabile del trattamento informa immediatamente il Titolare del
trattamento qualora, a suo parere, un'istruzione violi il regolamento o le
disposizioni UE o degli Stati membri concernenti la protezione dei dati.
49
50. Designazioni Responsabili e divieto di nomina a «cascata»:
Il responsabile del trattamento non ricorre ad un altro responsabile senza previa
autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso
di autorizzazione scritta generale, il responsabile del trattamento informa il
titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la
sostituzione di altri responsabili del trattamento, dando così al titolare del
trattamento l'opportunità di opporsi a tali modifiche.
Quando un responsabile del trattamento ricorre a un altro responsabile del
trattamento per l'esecuzione di specifiche attività di trattamento per conto del
titolare del trattamento, su tale altro responsabile del trattamento sono
imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in
materia di protezione dei dati contenuti nel contratto o in altro atto
giuridico tra il titolare del trattamento e il responsabile del trattamento,
prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche
e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
regolamento.
50
51. La disciplina è molto più dettagliata rispetto a quella del Codice
Privacy che si limitava a richiedere l’analitica specificazione:
- dei compiti affidati al responsabile;
- delle istruzioni impartite dal titolare.
Tra gli obblighi documentali, cui il Regolamento attribuisce
grande rilievo, è prescritto ad entrambe le parti di documentare
per iscritto le istruzioni del titolare del trattamento e gli obblighi
del responsabile del trattamento. La conservazione della
documentazione assume, di conseguenza, una notevole
importanza (ciò tiene conto del principio di rendicontazione,
ovvero l’adozione di politiche interne e di meccanismi atti a
garantire e dimostrare il rispetto del regolamento).
51
52. - Qualora l'altro responsabile del trattamento ometta di adempiere ai propri
obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei
confronti del titolare e del trattamento l'intera responsabilità dell'adempimento
degli obblighi dell'altro responsabile;
- L'applicazione da parte del responsabile del trattamento di un codice di
condotta o di un meccanismo di certificazione può essere utilizzata come
elemento per dimostrare le garanzie sufficienti;
- Fatto salvo un contratto individuale tra il titolare del trattamento e il
responsabile del trattamento, il contratto o altro atto giuridico può basarsi, in
tutto o in parte, su clausole contrattuali tipo;
- Il contratto o altro atto giuridico è stipulato in forma scritta, anche in formato
elettronico;
- Se un responsabile del trattamento viola il regolamento, determinando le
finalità e i mezzi del trattamento (in maniera autonoma), è considerato un
titolare del trattamento in questione.
52
53. Ai sensi di quanto previsto nel Regolamento UE si pone, quindi,
in primo piano il problema della corretta contrattualizzazione
dei rapporti tra i soggetti titolari/contitolari/responsabili/sub-
responsabili coinvolti i quali, a seconda dello specifico
trattamento effettuato, concorreranno a vario titolo nella gestione
delle attività di trattamento (in quanto insieme o separatamente
possono determinano le finalità, le condizioni e i mezzi del
trattamento).
La mancata contrattualizzazione o la mancanza di chiarezza nella
contrattualizzazione (anche in materia di adozione di specifiche
misure di sicurezza), possono implicare una responsabilità
solidale tra i corresponsabili (vd. art. 82, paragrafo 4 e 5).
53
54. Importanza del contratto
Diritto al risarcimento e
responsabilità
1. Chiunque subisca un danno materiale o immateriale [patrimoniale e non
patrimoniale] cagionato da una violazione del presente regolamento ha il diritto
di ottenere il risarcimento del danno dal titolare del trattamento o dal
responsabile del trattamento.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure un
titolare del trattamento e un responsabile del trattamento siano coinvolti nello
stesso trattamento e siano responsabili dell'eventuale danno cagionato dal
trattamento, ogni titolare del trattamento o responsabile del trattamento
risponde per l'intero ammontare del danno, al fine di garantire il risarcimento
effettivo dell'interessato.
54
55. RESPONSABILITA’:
un titolare del trattamento coinvolto nel trattamento risponde per il
danno cagionato dal suo trattamento non conforme al presente
regolamento;
un responsabile del trattamento risponde per il danno cagionato dal
trattamento solo se non ha adempiuto gli obblighi del presente
regolamento specificatamente diretti ai responsabili del trattamento o
ha agito in modo esterno o contrario alle legittime istruzioni del titolare
del trattamento.
Il titolare del trattamento o il responsabile del trattamento è
esonerato dalla responsabilità se dimostra che l'evento
dannoso non gli è in alcun modo imputabile
55
56. ISO/IEC 29100 – Parallelo al GDPR
56
Framework per la protezione dei dati personali trattati con sistemi informativi
Definizione di termini (vocabolario) condivisi per il trattamento delle PII
Individuazione di attori e ruoli per la gestione dei PII
Analisi delle interazioni tra attori in scenari diversi di trattamento delle PII
Classificazione delle PII
Considerazioni su metadati e PII non richieste
Tecniche di anonimizzazione o associazione a pseudonimi
Gestione dei rischi relativi alla privacy
Misure di sicurezza per far fronte ai rischi individuati
Privacy policy
Liberamente disponibile in inglese e (a pagamento) in italiano
57. Agenda e relatori
57
Introduzione alla sicurezza
informatica e legami con l’attività
di produzione manifatturiera
Panoramica sulle norme
internazionali per la sicurezza
delle informazioni, certificazione e
audit
Aspetti legali e contrattuali
connessi alla sicurezza delle
informazioni
Fatturazione e firme elettroniche,
profili professionali per la
sicurezza delle informazioni
58. Relatore
58
Luciano QUARTARONE
Lead Auditor 27001, ITIL
Membro del CT 510 di UNINFO "Sicurezza"
Senior Information Security consultant at BL4CKSWAN S.r.l.
59. Fatturazione e Firme Elettroniche
Cosa intendiamo con i termini
«Fattura elettronica» e
«Firma Elettronica»?
Fattura elettronica: è un documento in
formato digitale caratterizzato dalla presenza
di una firma elettronica che ne garantisce
autenticità ed integrità, che viene trasmesso
ad uno specifico sistema di interscambio;
Documento digitale (informatico): la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti;
Autenticità (del documento informatico): caratteristica di un documento informatico
che garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni o
modifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore e
l'integrità del documento informatico;
Integrità (del documento informatico): insieme delle caratteristiche di un documento
informatico che ne dichiarano la qualità di essere completo ed inalterato;
Sistema di interscambio: è la piattaforma che trasmette la fattura dal fornitore al
«committente» (PA o privato);
59
60. Fatturazione e Firme Elettroniche
Come funziona le fattura elettronica?
PRODOTTE TRASMESSE
Le fatture elettroniche vengono prodotte,
trasmesse, archiviate e conservate…
CONSERVATE
in formato XML secondo una struttura
ed una sintassi stadardizzata che ne
garantiscono l’interoperabilità.
60
61. PRODURRE una fattura elettronica…
Vuol dire predisporre il singolo file fattura od un
insieme di file fattura per l’invio al Sistema di
interscambio usando il formato XML definito dagli
standard di riferimento secondo la nomenclatura
prevista
XML XSL HTML+ =
61
Fatturazione e Firme Elettroniche
62. PRODURRE una fattura elettronica…
…vuol dire anche firmare digitalmente il singolo file
fattura o l’insieme di file fattura prima dell’invio al
sistema di interscambio
La firma elettronica apposta alla fattura elettronica
garantisce:
• l’integrità delle informazioni contenute nella
fattura;
• l’autenticità di chi emette la fattura;
I formati di firma supportati sono:
• CAdES-BES (ETSI TS 101 733 V1.7.4);
• XAdES-BES (ETSI TS 101 903 V1.4.1).
62
Fatturazione e Firme Elettroniche
63. TRASMETTERE una fattura elettronica…
Vuol dire inviare al Sistema di interscambio il file
prodotto e firmato, utilizzando una delle modalità
previste:
Posta Elettronica Certificata (PEC)
garantisce l’invio e la ricezione del messaggio, attestandone la
validità legale;
Invio Web (tramite il sito fatturapa.gov.it)
usando CNS abilitata per i servizi telematici dell’Agenzia delle
Entrate;
Invio tramite SDICoop (web-services)
• SdIRiceviFile;
• TrasmissioneFatture
63
Invio tramite SDIFTP
utilizza il protocollo FTP per l’invio e la ricezione dei file
Invio tramite SPCoop-Trasmissione (web-services)
utilizza webservices su sistema SCP
Fatturazione e Firme Elettroniche
64. Il Sistema di Interscambio…
64
Fatturazione e Firme Elettroniche
Produttore DestinatarioSDI
1. Invio del file fattura
2. Esegue controlli
3(a). Su errori, Notifica di scarto 3(b). Inoltra per l’elaborazione
4(a). Su errori,
Notifica mancata consegna
4(b). Ricevuta di consegna
5. Notifica esito Committente
6(b). Notifica esito 6(a). Su errori,
Scarto esito Committente
7. Se Destinatario non segnala nulla entro 15 gg, SDI inoltra
Notifica decorrenza termini
8. Trascorsi 10gg da «Mancata Consegna», in presenza di errori SDI inoltra
Attestazione di avvenuta trasmissione con impossibilità di recapito
65. CONSERVARE una fattura elettronica…
obbligo sia per i soggetti attivi, sia per i soggetti
passivi.
Chi emette fattura alla PA è tenuto alla
conservazione anche di tutte le ricevute rilasciate
dal Sistema di Interscambio.
65
Fatturazione e Firme Elettroniche
66. Cosa intendiamo con i termini
«Fattura elettronica» e
«Firma Elettronica»?
Firma elettronica: l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione
informatica;
Identificazione informatica: la validazione dell'insieme di dati attribuiti in modo esclusivo
ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi,
effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza
dell'accesso;
Fatturazione e Firme Elettroniche
Certificato qualificato: il certificato elettronico
conforme ai requisiti di cui all'allegato I della
direttiva 1999/93/CE, rilasciati da certificatori che
rispondono ai requisiti di cui all'allegato II della
medesima direttiva;
66
67. 67
firma elettronica: l'insieme dei dati
in forma elettronica, allegati oppure
connessi tramite associazione logica
ad altri dati elettronici, utilizzati
come metodo di identificazione
informatica;
firma elettronica avanzata: insieme di
dati in forma elettronica allegati
oppure connessi a un documento
informatico che consentono
l'identificazione del firmatario del
documento e garantiscono la
connessione univoca al firmatario,
creati con mezzi sui quali il firmatario
può conservare un controllo
esclusivo, collegati ai dati ai quali
detta firma si riferisce in modo da
consentire di rilevare se i dati stessi
siano stati successivamente
modificati;
firma elettronica qualificata: un
particolare tipo di firma elettronica
avanzata che sia basata su un
certificato qualificato e realizzata
mediante un dispositivo sicuro per
la creazione della firma;
firma digitale: un particolare tipo di
firma elettronica avanzata basata su
un certificato qualificato e su un
sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra
loro, che consente al titolare tramite
la chiave privata e al destinatario
tramite la chiave pubblica,
rispettivamente, di rendere manifesta
e di verificare la provenienza e
l'integrità di un documento
informatico o di un insieme di
documenti informatici;
firma remota: particolare procedura
di firma elettronica qualificata o di
firma digitale, generata su HSM, che
consente di garantire il controllo
esclusivo delle chiavi private da
parte dei titolari delle stesse;
firma automatica: particolare
procedura informatica di firma
elettronica qualificata o di firma
digitale eseguita previa
autorizzazione del sottoscrittore che
mantiene il controllo esclusivo delle
proprie chiavi di firma, in assenza di
presidio puntuale e continuo da
parte di questo;
Firma Elettronica
Firma Elettronica Avanzata
Firma Elettronica
Qualificata
Firma Digitale
Firma Remota
Firma Automatica
Fatturazione e Firme Elettroniche
68. 68
…eIDAS
REGOLAMENTO (UE) N. 910/2014
DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO
del 23 luglio 2014
in materia di identificazione
elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato
interno e che abroga la direttiva
1999/93/CE
Firma Elettronica
Firma Elettronica Avanzata
Firma Elettronica
Qualificata
Firma Digitale
Fatturazione e Firme Elettroniche
Firma Remota
Firma Automatica
69. 69
…eIDASFirma Elettronica
Firma Elettronica Avanzata
Firma Elettronica Qualificata
Fatturazione e Firme Elettroniche
Sigillo Elettronico dati in forma elettronica, acclusi
oppure connessi tramite associazione
logica ad altri dati in forma elettronica
per garantire l’origine e l’integrità di
questi ultimi
Sigillo Elettronico Avanzato un sigillo elettronico che soddisfi i
requisiti sanciti all’articolo 36
Sigillo Elettronico Qualificato un sigillo elettronico avanzato creato
da un dispositivo per la creazione di un
sigillo elettronico qualificato e basato
su un certificato qualificato per sigilli
elettronici
70. Cosa intendiamo con i termini
«Formati di Firma» e «Tipologia di Firma»
70
Fatturazione e Firme Elettroniche
Quanto visto fino ad ora, rappresenta l’insieme (non esaustivo) delle
TIPOLOGIE di firma, ma esistono diversi FORMATI di firma il cui utilizzo
non è sempre «interscambiabile»…
AdES - Advanced Electronic Signature
CAdES
XAdES
PAdES
ASiC
.p7m
.xml
.pdf
CMS*
XML
PDF
* Cryptographic Message Syntax
71. Formati di Firma
71
Fatturazione e Firme Elettroniche
Ogni formato di firma, è organizzato
in una BUSTA CRITTOGRAFICA
modulare che permette di ottenere
delle firme con caratteristiche anche
molto differenti fra loro. La struttura
base utilizza il PKCS#7 (RFC2315*)
che è lo standard RSA di riferimento
per la sintassi dei messaggi
crittografici.
* https://tools.ietf.org/html/rfc2315
HEADER PKCS#7
DOCUMENTO ORIGINALE
HASH DOCUMENTO
CERTIFICATO FIRMATARIO
CERTIFICATO CA
72. CAdES…
72
Fatturazione e Firme Elettroniche
Signer’s
Document
Signed
Attribute
Digital Signature
CAdES BES
signature-
timestamp
CAdES-T
Complete certificate and revocation referencesCAdES-C
Complete Certificate and Revocation DataCAdES-X Long
…e continua…
PKCS#7
73. … ed in pratica, che aspetto ha la firma elettronica?
73
Fatturazione e Firme Elettroniche
1) Consideriamo un generico documento pdf …
+ CAdES =
volantino.pdf volantino.pdf.p7m
74. … ed in pratica, che aspetto ha la firma elettronica?
74
Fatturazione e Firme Elettroniche
2) Consideriamo un generico documento pdf …
+ PAdES =
volantino.pdf Volantino-signed.pdf
75. … ed in pratica, che aspetto ha la firma elettronica?
75
Fatturazione e Firme Elettroniche
3) Consideriamo un generico file xml
+ XAdES =
Fattura.xml Fattura-signed.xml
76. Quali altre opportunità?
76
Fatturazione e Firme Elettroniche
• Implementata come una FEA, permette di
firmare su tablet, smartphone, tavolette
grafiche…
• Non solo firma «manoscritta», ma tutto ciò
che «biometrico» (ISO/IEC 19794) può
essere usato come forma di autenticazione
e come fattore abilitante per la
sottoscrizione di documenti.
• Occorre considerare le implicazioni Privacy
dovute al trattamento di dati sensibili.
…Firma Grafometrica
Vengono catturate e memorizzate
alcune caratteristiche uniche nel loro
insieme…
1. Posizione;
2. Tempo;
3. Pressione;
4. Velocità
5. Accelerazione
77. Quali elementi caratteristici posso
ricercare per selezionare i profili
professionali più adatti alla mia
azienda per proteggere le
informazioni aziendali?
Profili Professionali per la
sicurezza delle informazioni
77
Seniority? Ethical hacking? Programmazione?
Lingue? Diritto Amministrativo? …
78. Profili Professionali per la
sicurezza delle informazioni
78
European e-Competence Framework
COMPETENZE abilità di applicare conoscenze, capacità
e attitudine per raggiungere risultati osservabili;
CAPACITA’ … di svolgere compiti gestionali o tecnici;
CONOSCENZE rappresenta l’insieme di “cose note”
che possono essere indicate da descrizioni
operazionali;
79. Profili Professionali per la
sicurezza delle informazioni
79
European e-Competence Framework
[…]un modo per esprimere la capacità di un professionista ICT e perciò
fornisce un modo di riconoscere i gap di skill e conoscenze che possono
essere richieste per migliorare le performance del singolo e quindi
dell’organizzazione.
(fonte: European ICT Professional Profiles based on the e-CF)
80. Profili Professionali per la
sicurezza delle informazioni
80
5 aree di
competenza
(PLAN, BUILD, RUN,
ENABLE, MANGE)
36 e-Competence
(40 nella v3)
5 livelli di abilità
Esempi di Abilià e Conoscenze
Dimensione 4
Dimensione 3
Dimensione 2
Dimensione 1
European e-Competence Framework
81. Profili Professionali per la
sicurezza delle informazioni
81
European e-Competence Framework - esempio
FonteCWA_16234-1
82. Profili Professionali per la
sicurezza delle informazioni
82
Quadro normativo italiano
Disposizioni in materia di professioni non organizzate, Legge n°4, 14/1/2013
6.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a norme
tecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base delle
linee guida CEN 14 del 2010
6.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione verso
l'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali che
disciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano la
qualificazione.
9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaborano
all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso la
partecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propri
contributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensualità, democraticità
e trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi di
certificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza,
imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantiti
dall'accreditamento di cui al comma 2.
83. Profili Professionali per la
sicurezza delle informazioni
83
La normativa tecnica UNI – UNI 11506
"Attività professionali non regolamentate – Figure professionali operanti nel
settore ICT – Definizione dei requisiti di conoscenza, abilità e competenze»
• Recepisce in toto e-CF 2.0
• Ufficializza la traduzione di e-CF 2.0 in italiano
• Aggiunge gli elementi necessari per una qualificazione delle competenze:
• §6 Elementi per la valutazione e convalida dei risultati
dell'apprendimento (metodi di valutazione e organizzazione che effettua
la convalida)
• §7 Aspetti etici e deontologici applicabili
85. Profili Professionali per la
sicurezza delle informazioni
85
La normativa tecnica UNI – UNI 11621-4
Profili Professionali relativi alla Sicurezza delle Informazioni