Strumenti ISACA a supporto della conformità con il GDPR

Luca Moroni CISA - 2 Marzo 2018
Strumenti ISACA a supporto
della conformità con il GDPR

Strumenti ISACA a supporto della conformità con il GDPR - Luca Moroni 2-3-2018
Chi sono
ISACA VENICE research team coordinator
✔ Research n.1: Vulnerability and Penetration Test. User’s guidelines about third
party penetration test.
✔ Research n.5: Cyber Security Awareness of N/E Italian Critical Infrastructures:
Scenarios and Guidelines for self-assessment
Member of ISACA VENICE Chapter Translation team
✔Securing Mobile Devices – ITA
Publisher White Paper «Cybersecurity Risk Insurance»
Graduation in Computer Science (1989. Milan), CISA, ISO 27001 and ITIL V3
certified and other tech certifications. Focused on Cybersecurity since 2000 and
lecturer in some seminars about this topic.
ISACA Venice Board Member, Founder IT CLUB FVG, Member Club Bit,
Founder Cyber Secuirty Angel Alliance.
Founder of the innovative company Via Virtuosa, which focuses on scouting
and promotion of expertises in Cybersecurity and IT governance in NE of Italy.

Gianni Montecchio
Consulente Privacy
Data Protection Officer (DPO-GDPR)
Formatore
IT Manager in Sicurezza delle Informazioni a PMI
Privacy Officer e Consulente della Privacy certificazione TUV – CDP:160
Certified Information Security Manager® (CISM) – ISACA, Licenza 1631925
ISO 27001 Lead Auditor – BSI, Licenza ENR-00206668
Information Security Management – Cefriel Milano
Laurea in Economia Aziendale – Venezia “Ca’ Foscari”
Un grazie a..

“Non ci piace camminare su un
terreno poco sicuro”
On. Antonello Soro
Milano 9/2/2018
ITASEC18
Da una indagine di Confindustria il 70% delle
aziende non farà niente ed è pronta ad
accettare la multa. Ma non ci sarà una
dilazione poichè è un regolamento recepito da
tutti i paesi europei, Italia inclusa.

Dove siamo arrivati
GDPR e Security: un
percorso impervio… a
trazione integrale.
Politecnico di Milano
Milano 6/2/2018
Osservatori.net

I prossimi passi
GDPR e Security: un
percorso impervio… a
trazione integrale.
Politecnico di Milano
Milano 6/2/2018
Osservatori.net

Il Portale ISACA
General Data Protection Regulation (GDPR)
Readiness, Assessment & Compliance
https://www.isaca.org/info/gdpr/index.html

WEBINAR
Where do Cyberrisks and GDPR Compliance Meet? - 20 feb 2018
Learn more about how cyber risks can translate into non-compliance with laws and
regulations. With its global impact and prescriptive nature, GDPR has been selected
as the area of focus for this session.
Implementing GDPR - 21 feb 2018
This webinar will offer practical advice on implementing the Regulation and provide a
high-level view on how enterprises should approach the practical challenge of
achieving an adequate level of GDPR compliance by the target date of May 2018.
GDPR—What You Don't Know Can Hurt You - 27 feb 2018
GDPR introduces complex regulatory requirements that can paralyze an unprepared
company. The strategic opportunity is assessing the principles of GDPR to manage
risks by implementing meaningful changes in how your business incorporates privacy
protection into operations.
Maintaining Data Protection and Privacy After GDPR - 6 mar 2018
This webinar briefly examines the importance of a sound Data Protection Strategy,
the competencies and responsibilities needed in an organization to support the
strategy, the key elements to establish in the operational life cycle, and the relevant
standards to consider.
INTERACTIVE LEARNING

WEBINAR
GDPR Data Protection Impact Assessments
A significant requirement of GDPR is for organizations to conduct data protection impact
assessments (DPIAs) to identify and reduce the data protection risks within projects and
systems, as well as reduce the likelihood of privacy harms to data subjects.
How to Jump Start GDPR with Identity & Access Management
More than 50% of businesses today don't have a strategy to address GDPR, The
European General Data Protection Regulation. For companies that fail to comply, the
cost of non-compliance can be high—as much as 4% of annual turnover.
Countdown to GDPR: 5 Tips to Accelerate GDPR Readiness
The General Data Protection Regulation (GDPR), taking effect in May of 2018, will reset
best practices for data privacy and protection globally. Preparing for GDPR is no small
task. This, in addition to the substantial penalties for non-compliance, has propelled data
protection as a business risk directly into the boardroom.
Five Milestones for GDPR Compliance Success
With the deadline for organizations to become GDPR-compliant fast approaching,
security and privacy professionals must act quickly. But where do you start to tackle
what seems an overwhelming task? What should you include as part of your strategy?
INTERACTIVE LEARNING

Publication, white papers
PUBLICATION
Implementing the General Data
Protection Regulation 25$ o 50$
Maintaining Data Protection and Privacy
Beyond GDPR Implementation
WHITE PAPER
Adopting GDPR Using COBIT 5
GDPR Data Protection Impact
Assessments
AUDIT PROGRAM
Data Privacy Audit/Assurance Program
RESOURCE CENTER

IMPLEMENTAZIONE GDPR
Guida all’applicazione del Regolamento Europeo in materia di
protezione dei dati personali – Garante Italiano

IMPLEMENTAZIONE GDPR (ISACA)
ISACA Privacy Principles and Program Management
Guide
The Seven Categories of Privacy That Every Enterprise
Must Address - FREE Infographic
Implementing the General Data Protection Reg (Book)
Maintaining Data Protection and Privacy Beyond
GDPR Implementation (book –free ) tips & tricks non
c’è ancora nulla su questo
(integrazione GDPR con ISO 27000- BS 10012 – ISO
29100 – NIST – ISO 15489 – ISO 8000 – ISO 22301)
RESOURCE CENTER

IMPLEMENTAZIONE GDPR (ISACA)
-Chapter 1. An Introduction to GDPR
-Chapter 2. Managing Your GDPR Program
-Chapter 3. Identifying and Classifying
Personal Data
-Chapter 4. Risk Management
-Chapter 5. Governance
-Chapter 6. Internal Controls And
Assurance
-Chapter 7. Security
-Chapter 8. GDPR in The Supply Chain
-Chapter 9. Managing Incidents and
Breaches
-Chapter 10. Creating and Maintaining
Awareness
-Annex 1: GDPR Processes
-Annex 2: Data Protection Impact
Assessment
-Annex 3: Sample Personal Data Register
-Annex 4: Sample Processing Register
RESOURCE CENTER

INFOGRAFICHE AWARENESS
- GDPR: What Does It Mean for Your Enterprise?
- Key Tips & Takeaways for GDPR Implementation Using COBIT 5
- Connecting Privacy Activities with COBIT 5 Principles
- Privacy Behaviors at the Individual and Organizational Level
- The Seven Categories of Privacy That Every Enterprise Must Address
RESOURCE CENTER

Other Resource center
Journal Articles &
Podcasts
ISACA Now Blog
Posts
RESOURCE CENTER

NEWS
• Complete Guide to GDPR Compliance - Infosecurity Magazine
• No Silver Bullet for GDPR Compliance - DataIQ
• Why GDPR Makes Even Infosec Practitioners Anxious - Information
Management
• Opinion: GDPR Can Bring Major Benefits to Governance, Security
Professionals - Information Management
• Opinion GDPR: What a Data Protection Impact Assessment Is and Isn't -
SecurityBrief New Zealand
• ISACA Warns GDPR Compliance Clock is Counting Down Fast - CSO
Australia
• With PCI DSS Proving too Hard, Can Australian Companies Do Better on
GDPR? - eSecurity Planet
• Data Loss Prevention (DLP): Keeping Sensitive Data Safe –
Press Releases
• ISACA Releases Guide to GDPR Implementation as May Deadline Approaches
• ISACA's EuroCACS Conference Looks to GDPR as Countdown Begins GDPR
Deadline is 9 Months Aways: Are You Ready?
NEWSROOMNEWSROOM

GDPR ADVOCACY
• GDPR: Securing Data,
Leading with Both
Legal and Technical
Expertise
• GDPR Text
• European
Commission Data
Protection Resources
• GDPR Resources
• The Right to Data
Portability in the
GDPR
• GDPR Explained
ADVOCACY

AUDIT
- Data Privacy Audit/Assurance Program (tool excel) – ISACA 25$
o 50$
The audit program covers the following areas. Included are examples of the topics
addressed in each of the areas:
• Privacy Management — Governance and privacy impact assessments
• Data Management and Collection — Data use and retention; electronic and
physical records management
• Data Security — Access management to electronic data; data transfer
• Third-Party Compliance and Contractual Agreements — Third-party
interaction with data
• Incident Management and Escalation — External party notification; cyber
insurance
- Controlli ISO 27001
• ISO/IEC 27018:2014 — Information technology — Security techniques —
Code of practice for protection of Personally Identifiable Information (PII)
in public clouds acting as PII processors
• ISO/IEC 27552 — Information technology — Security techniques —
Extension to ISO/IEC 27001 and to ISO/IEC 27002 for privacy management
— Requirements and guidelines [draft]
• ISO/IEC 27030 Information technology — Security techniques —
Guidelines for security and privacy in Internet of Things (IoT) [DRAFT]
- Mapping between GDPR (the EU General Data Protection Regulation)
and ISO27k – www.ISO27001security.com

Quando serve fare la DPIA INFOGRAFICA DEL
GARANTE

Strumenti per la DPIA
Valutazione d'impatto della protezione dei dati
- Infografica del Garante
- Linee Guida che dice quando serve del WP29: WP248rev01
- CNIL: linee guida, manuali e soprattutto TOOL (WEB e Portable)
- ICO: Conducting privacy impact assessments – code of practice
- VERA 4.4 per Privacy (Very Easy Risk Assessment) di Cesare
Gallotti
- ENISA: Handbook on Security of Personal Data Processing
- ISO/IEC 29134 - Privacy impact assessment
- Garante Tedesco e Spagnolo

Strumenti per la DPIA (ISACA)
tips & tricks: Solo il garante Inglese e Francese hanno
dato una linea guida, l’Italia non ancora. Per questo il
tool ISACA è utile!
GDPR DATA PROTECTION IMPACT ASSESSMENT
How to Perform GDPR-required DPIAs Using ISACA Privacy Principles
- GDPR DATA PROTECTION IMPACT ASSESSMENT TOOL
(tool Excel) tips & tricks è Gratis
- WEBINAR del 28-9-2017 di Rebecca Herold (Privacy
Professor):
HOW TO PERFORM A GDPR DATA PROTECTION IMPACT
ASSESSMENT (DPIA) USING THE ISACA PRIVACY PRINCIPLES
tips & tricks Interessante e non commerciale
www.isaca.org/GDPR-DPIA
DATA PROTECTION IMPACT
ASSESSMENT

WEBINAR GDPR
- Five milestones for GDPR compliance success –
Webinar del 13-7-2017 (Data classification)
- Where do Cyber-Risks and GDPR Compliance Meet?
Webinar del 20-2-2018
tips & tricks presentazioni commerciali

DATA BREACH
- Guidelines on Personal data breach notification under Regulation
2016/679 (wp250rev.01) - 13-2-2018 tips & tricks è importante
- Prevent major data breaches with threat lifecycle management –
Webinar del 9-2-2017

DATA BREACH
A West Virginia health system is warning 43,000 patients their personal
information may have been compromised after a laptop was stolen from an
employee’s car.
In this letter to patients, CEO said the laptop was password protected, but the
hard drive was NOT ENCRYPTED, leaving the “remote possibility” that
documents containing Social Security numbers, financial information and health
data may have been accessed.
This is a future common Data Breach in June. Are your company ready?

PROFILAZIONE
tips & tricks: Questo aspetto è molto sottovalutato. Tutte
le aziende vorranno farlo in futuro (Ufficio Marketing) e molte
aziende dovranno cambiare la loro attuale informativa
Guidelines on Automated individual decision-making and
Profiling for the purposes of Regulation 2016/679
(wp251rev.01) 13-2-2018

GRC per GDPR
Per dare evidenza ed evitare Rischio Lock-in
A partire dal 2018 per il rispetto della normativa GDPR, sarà consigliabile adottare una
applicazione dedicata al mantenimento del modello organizzativo Privacy, che genererà:
1. Il Registro dei Trattamenti, che conterrà informazioni di diversa natura tra cui le
finalità del trattamento, la descrizione delle categorie di interessati e di dati personali
che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate per
proteggere i dati personali
2. L’organigramma Privacy
3. I documenti di nomina dei responsabili (interni ed esterni) oltre che degli incaricati al
trattamento e dei sub-responsabili interni ed esterni
4. La manutenzione dei piani di formazione del personale sulla Privacy
5. Ruoli e compiti del Data Protection Officer (DPO)
6. Privacy Impact Assessment (PIA)
7. Analisi e documentazione delle esigenze di “privacy by design” nella gestione dei
dati personali.
8. Analisi e documentazione delle procedure da adottare per la gestione dei “data
breach”.
9. Valutazione e documentazione delle esigenze di aggiornamento documentale
(nomine responsabili, informative e consensi clienti e dipendenti ecc).
10. Analisi delle filiere di trattamento per realizzare un modello di gestione della “data
retention” dei dati personali.

Piano per l’adeguamento al GDPR
for Dummies
1. Definire l’organigramma e i
responsabili Privacy
2. Mappatura dei trattamenti
3. Per ogni risorsa individuata:
compiti e responsabilità ed un
piano formativo
4. Se necessaria: PIA – Privacy
Impact Assessment
5. Applicazione delle misure di
sicurezza
6. Notifica Data Breach

Getting ready for the GDPR
GDPR checklist for data
controllers
GDPR checklist for data
processors

Prima di Maggio fate un audit terzo
Se l’impianto che avete creato ha dei problemi è
meglio saperlo prima per poter porre un rimedio

Diritto all’oblio: Un esempio di incidente
1. Una persona si iscrive ad una delle newsletter di un sito tramite applicativo web.
2. Invia una raccomandata all’indirizzo del gestore del sito chiedendo di essere
rimosso dalle newsetter senza specificare da quale lista.
3. Il gestore del sito non provvede immediatamente alla cancellazione non sapendo
da quale lista (ne esistono diverse). Nel frattempo il sottoscrittore riceve ben due
email pubblicitarie.
4. Arriva un’ingiunzione da parte di un avvocato specificando che è stata commessa
una infrazione alla Legge sulla Privacy.
5. Nell’ingiunzione viene specificato che la persona (danneggiata) è disponibile a
transare per 300 euro

Data Breach: Un scenario di incidente
1. Una Applicazione esposta su internet viene violata o si dimostra palesemente
non sicura e si verifica un data breach.
2. Viene informato uno o più utenti oggetto del data breach e passano le 72 ore
3. Gli utenti fanno una class action
4. Le possibile sanzione fino a 20.000.000 o fino al 4% del fatturato annuo per i
casi più gravi, art. 6-7-9-10-12-13-14 dal 44 al 50 del GDPR
5. Arriva un’ingiunzione da parte di un avvocato specificando che è stata
commessa una infrazione alla Legge sulla Privacy.
6. Nell’ingiunzione viene specificato che le persone (danneggiate) sono disponibili
a transare mantenendo il riserbo per una cifra più bassa della sanzione

Fattore H: la perdita di dati sensibili

Questions?Domande

https://www.globalknowledge.com/us-en/content/articles/top-paying-certifications/

Grazie
l.moroni@viavirtuosa.it

Strumenti ISACA a supporto della conformità con il GDPR

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Strumenti ISACA a supporto della conformità con il GDPR

Similar to Strumenti ISACA a supporto della conformità con il GDPR (20)

More from Luca Moroni ✔✔

More from Luca Moroni ✔✔ (17)

Strumenti ISACA a supporto della conformità con il GDPR