Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
3. GDPR – Quali sono le misure adeguate per
la Protezione dei dati
QUALI
RISCHI?
Per i Dati Personali
Per il Titolare
QUALI
FONTI?
Fattore Umano
Fonti «esterne»
QUALI
MISURE?
Software
Hardware
3
5. Tenendo conto dello stato dell'arte e dei costi di
attuazione, nonché della natura, dell'oggetto,
del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e
gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono,
tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura
dei dati personali;
b) la capacità di assicurare su base
permanente la riservatezza,
l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di
trattamento;
c) la capacità di ripristinare
tempestivamente la disponibilità e
l'accesso dei dati personali in caso di
incidente fisico o tecnico;
d) una procedura per testare, verificare e
valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine
di garantire la sicurezza del
trattamento.
GDPR – Art. 32 – Sicurezza
del trattamento
5
7. In caso di violazione dei dati personali, il titolare
del trattamento notifica la violazione all'autorità di
controllo competente … e, ove possibile, entro 72
ore dal momento in cui ne è venuto a
conoscenza, a meno che sia improbabile che la
violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche.
a) Violazione di Riservatezza
quando si verifica una divulgazione o
un accesso a dati personali non
autorizzato o accidentale
b) Violazione di Integrità
quando si verifica un’alterazione di dati
personali non autorizzata o
accidentale
c) Violazione di Disponibilità
quando si verifica la perdita,
inaccessibilità o distruzione,
accidentale o non autorizzata, di dati
personali
GDPR – Art. 33 – Data Breach
7
8. GDPR – Sanzioni (Art. 83)
L’art. 83 stabilisce le condizioni per
applicare la sanzione che devono
essere:
- Effettive
- Proporzionate
- Dissuasive
8
9. GDPR – Sanzioni (Art. 83)
Saranno inflitte in base
✓ Alla Natura, gravità e durata della violazione
✓ Al carattere doloso o colposo della violazione
✓ Alle misure adottate dal titolare
✓ Al grado di responsabilità
✓ Eventuali precedenti violazioni
✓ Al grado di cooperazione con l’autorità
✓ A come l’autorità di controllo è venuta a conoscenza della violazione
✓ Alle categorie di dati personali interessati
✓ Eventuali fattori aggravanti o attenuanti
9
10. Per l’Azienda oltre il danno… la beffa!
DANNO
Ogni danno informatico causa
all’Azienda una perdita di:
- Tempo
- Lavoro
- Denaro
- Reputazione
- Immagine
10
SANZIONE (BEFFA)
Se la sanzione fosse stata
comminata a seguito della denuncia
di un interessato, oltre alla sanzione
potrebbe essere previsto il
risarcimento del danno
11. GDPR – Quali misure adeguate
Analisi
Tipologia di
Rischio
Calcolo del
Rischio
Analisi
Fonti di Rischio
Misure di
Sicurezza
Verifiche
Periodiche
11
12. Se conosci il nemico e
te stesso,
la tua vittoria è sicura.
Quale Tipologia di
Dati Personali?
✓ Dati Comuni
✓ Dati Particolari / Sensibili
Livello utenti?
✓ Base
✓ Medio
✓ Avanzato
✓ Esperto
Dove risiedono i
dati?
✓ intranet
✓ internet
✓ mail
✓ cloud
Quali Tipologie e
Fonti di Rischio
Da dove iniziare?
12
13. QUALI TIPOLOGIE DI RISCHIO PER
IL DATO PERSONALE?
PERDITA
DATI
FURTO
DATI
IDENTITÀ
DIFFUSIONE
DATI
13
14. QUALI FONTI DI RISCHIO PER
IL DATO PERSONALE?
ESTERNE
web e mail
INTERNE
utenti
ACCIDENTALI
Eventi naturali o
incidenti
14
15. ALCUNI ESEMPI
Rottura hardware o
compromissione software
o del dato a causa di
utenti o «virus»
Banche Dati, mail, dati di
carte di credito, info
bancarie, password.
Furto dell’identità
Divulgazione a terzi per
errore o furto e ricatto per
la non divulgazione
15
17. … il titolare del trattamento effettua, prima di
procedere al trattamento, una valutazione
dell'impatto dei trattamenti previsti sulla
protezione dei dati personali (DPIA)
GDPR – Art. 35 –
Valutazione d'impatto sulla
protezione dei dati
17
19. Misure di Sicurezza a quale scopo?
PROTEZIONE
Proteggere il dato in uso tramite:
- Password adeguata
- Antivirus
- Firewall
- Policy accesso
- Update policy
19
PREVENZIONE
Prevenire danni tramite l’uso:
- Hardware adeguato
- Hardware di backup
- Software aggiornato
- Backup consolidato
- Cifratura del dato
20. Hardware e Software adeguati e aggiornati
Firewall a protezione della rete informatica
Software antivirus a protezione del server e dei singoli client
Password Policy per dispositivi e contenuti
Procedura di Backup consolidato
Cifratura o pseudonomizzazione dei dati
Procedura di Disaster Recovery
Update Policy - software, app e sistemi operativi
Supporto da tecnici specializzati
Formazione del personale
Quali misure di sicurezza?
20