Le informazioni sono una risorsa preziosa per le aziende, sono
fonte di un valore economico e costituiscono un patrimonio
importante che deve essere difeso e, allo stesso tempo, intensamente
utilizzato per generare vantaggi competitivi.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Enterprise Social Network - Profili giuridiciSimone Bonavita
Profili giuridici dell'Enterprise social network - Simone Bonavita, Marta Ghiglioni. Documento presentato alla 17esima edizione di E-Privacy, luglio 2015.
Industry 4.0 si basa sulle "tecnologie abilitanti" che possono trasformare l'azienda attraverso la loro direzione di innovazione. Queste tecnologie abilitanti danno vita a applicazioni reali attraverso la digitalizzazione. La digitalizzazione è un concetto virtuale che ha un impatto importante nel mondo reale. Passare attraverso questa presentazione per scoprire le principali applicazioni della tecnologia di settore 4.0.
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
"Ma Bisogna proprio proteggere anche reti di fabbrica ed IIoT?" è il titolo provocatorio che abbiamo usato in questa presentazione fatta in nome di CLUSIT nella sessione ICS/OT Cuber Security al Forum Software Industriale Milano 6.2.2019
Gli strumenti di smartworking e gli smart devices permettono al lavoratore di ottimizzare l'attività lavorativa, ma pongono anche sfide per quanto riguarda il controllo del lavoratore.
1. The document provides questions for a geotechnical engineering exam, with two main parts (A and B) containing multiple choice and descriptive questions.
2. Part A asks about objectives of soil exploration, methods for controlling groundwater during excavation, stress distribution theories, use of flownets, earth pressure theories, and locating phreatic lines.
3. Part B covers causes of slope failure, stability analysis methods, factors affecting bearing capacity, and terms related to settlement of foundations. Descriptive questions address topics like selection of boring depths, Newmark's method, seepage calculations, and stability of canal slopes.
Enterprise Social Network - Profili giuridiciSimone Bonavita
Profili giuridici dell'Enterprise social network - Simone Bonavita, Marta Ghiglioni. Documento presentato alla 17esima edizione di E-Privacy, luglio 2015.
Industry 4.0 si basa sulle "tecnologie abilitanti" che possono trasformare l'azienda attraverso la loro direzione di innovazione. Queste tecnologie abilitanti danno vita a applicazioni reali attraverso la digitalizzazione. La digitalizzazione è un concetto virtuale che ha un impatto importante nel mondo reale. Passare attraverso questa presentazione per scoprire le principali applicazioni della tecnologia di settore 4.0.
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
"Ma Bisogna proprio proteggere anche reti di fabbrica ed IIoT?" è il titolo provocatorio che abbiamo usato in questa presentazione fatta in nome di CLUSIT nella sessione ICS/OT Cuber Security al Forum Software Industriale Milano 6.2.2019
Gli strumenti di smartworking e gli smart devices permettono al lavoratore di ottimizzare l'attività lavorativa, ma pongono anche sfide per quanto riguarda il controllo del lavoratore.
1. The document provides questions for a geotechnical engineering exam, with two main parts (A and B) containing multiple choice and descriptive questions.
2. Part A asks about objectives of soil exploration, methods for controlling groundwater during excavation, stress distribution theories, use of flownets, earth pressure theories, and locating phreatic lines.
3. Part B covers causes of slope failure, stability analysis methods, factors affecting bearing capacity, and terms related to settlement of foundations. Descriptive questions address topics like selection of boring depths, Newmark's method, seepage calculations, and stability of canal slopes.
Este documento discute las teorías sobre la organización de las escuelas. Señala que no existe una teoría unificada y que los enfoques se han centrado más en grandes burocracias que en escuelas. También destaca la necesidad de estudiar las escuelas desde dentro, considerando los conflictos y la política. Finalmente, argumenta que las escuelas no pueden estudiarse como entidades aisladas sino que deben entenderse en su contexto cultural e integrando diferentes perspectivas teóricas.
This document discusses moving from social media to social business and collaboration. It outlines trends like always being connected and the need for transparency and collaboration both internally and externally. Building a social business can benefit employees through continuous learning and improved skills, as well as benefit the business through innovative insights, marketing and improved customer service. The next steps discussed are finding champions within the company, building buy-in, and changing workflows gradually.
Andrew Carige_Resume_Detailed Version 25-02-16Carige Andrew
Andrew has over 17 years of experience in construction management. He has managed logistics on several large and complex projects including an LNG project in Darwin with an estimated value of $750 million. He is currently the Logistics Manager on this project. Previously, he was the Logistics Manager on a $350 million accommodation village project in Darwin and a $49 million hospital project in Cairns. He has also worked internationally as the Head of Logistics on a $22.5 billion development in Abu Dhabi. Andrew has a proven track record of effective planning and scheduling, innovation, and team management to deliver projects on time and under budget while ensuring safety.
- The document proposes a social media plan to expand the social media presence of FreeState Legal and Equality Maryland.
- Currently, the organizations have over 21,000 combined followers on Facebook and Twitter. The plan aims to capitalize on this foundation to build engagement and community, expand reach, and boost fundraising through social media.
- Key goals include expanding platforms like LinkedIn, Snapchat, and Instagram; increasing followers and engagement; generating more interactive content; and utilizing social media for online fundraising efforts. The plan proposes metrics to measure growth and progress across platforms.
I controlli e le indagini informatiche in azienda nell'era del job act. I requisiti, le modalità e cosa può essere oggetto di una indagine informatica forense in azienda
Vincoli e opportunità introdotte dal Jobs Act nello sviluppo delle indagini informatiche sugli strumenti aziendali: computer, smartphone. Esaminiamo 5 casi reali di indagini informatiche in azienda a tutela della parte datoriale
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
Le problematiche che sorgono in seguito all’utilizzo dei prodotti e dei servizi dell’IoT sono molteplici. Tra queste, le maggiori sono:
a) Asimmetria informativa e mancanza di controllo sui propri dati: la condivisione di dati personali tra produttori dei dispositivi, sviluppatori di sw, provider e analisti, comporta per le persone la difficoltà ad esercitare un adeguato controllo sugli stessi, e, soprattutto, sulle finalità perseguite diverse da quelle associate al dispositivo;
b) Consenso informato: estrema difficoltà per l’utilizzatore dei dispositivi IoT di prestare un consapevole e libero consenso al trattamento dei suoi dati personali;
c) Profilazione intrusiva: l’elevata quantità di dati personali e sensibili, rende altamente possibile una profilazione sempre più sofisticata delle abitudini degli utenti;
d) Sicurezza: le attuali tecnologie IoT non hanno ancora raggiunto un livello di sicurezza adeguato.
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaStiip Srl
TeamSystem Agyo Privacy è la soluzione software per la gestione degli adempimenti richiesti dal GDPR:
- soluzione privacy per aziende e professionisti, associazioni ed Enti Pubblici
- vantaggi e caratteristiche del software
- soluzione per consulenti privacy
- integrazione con suite TeamSystem
- organizzazione logica del flusso operativo dei dati.
- CZ Informatica: oltre il software
Intervento di Sandro La Ferla (CZ Informatica) al seminario organizzato da CZ Informatica, Stiip e Opensi: GDPR - Come adeguarsi al nuovo Regolamento Europeo sulla Privacy
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
Il TechAdvisor Michelangelo Uberti analizza le cause comuni che portano numerose aziende a perdere dei dati riservati, subendo così gravi danni economici e d'immagine. Nell'articolo viene descritto il funzionamento delle principali soluzioni di Data Loss/Leak Prevention (DLP), un insieme di tecnologie dedicate all'identificazione e al monitoraggio dei dati nonché alla definizione delle migliori regole di gestione.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
2. Come pianificare gli investimenti tecnologici.
Le aziende stanno capendo, che il costo di adeguamento al “Codice Privacy” ed
il conseguente investimento in tecnologia,
è un’opportunità necessità
Risponde ad una esigenza non più procrastinabile: quella di proteggere le
informazioni aziendali, oggi entrate di prepotenza nel mondo dell’alta
disponibilità (virtualizzazione, mobile, cloud).
3. Da dove si inizia?
Hardware e Software installati
Dove risiedono i dati?
Come funzionano autorizzazioni ed autenticazioni
Come gestisco la posta elettronica
E’ utilizzato il mobile? Ed è autorizzato?
Che tipo controlli o alerts sono attivati
Come stanno funzionando le misure di Sicurezza?
Come mantengo aggiornato il tutto?
ANALISI
4. In concreto:
Gli investimenti tecnologici servono:
Per gestire un rischio
Per aumentare la disponibilità
dell’informazione
L’analisi è utile per programmare gli investimenti tecnologici
5. Come gestire al meglio le risorse informatiche
aziendali, garantirne il massimo utilizzo ed
un'adeguata protezione.
6. DISPONIBILITÀ vs PROTEZIONE
Gestire in maniera diversa dati diversi
Attivando i giusti alerts e controlli…
Conoscenze dell’azienda, della normativa e della tecnologia.
Il business si sviluppa con la DISPONIBILITA’ DEL DATO
si difende con la PROTEZIONE.
7. Da obbligo ad opportunità
Inoltre il Regolamento Europeo, introduce importanti cambiamenti nelle
responsabilità (ACCOUNTABILITY)
Conoscenza/ analisi
Investimento tecnologico MIRATO
Crescita business
Conformità
8. Responsabilità globale del Titolare, denominata «Accountability»
Le nuove disposizioni dettano l’obbligo di Responsabilità del
Titolare di rispettare il presente regolamento e di dimostrare tale
conformità, anche mediante l’adozione di politiche interne e
meccanismi per garantirne tale rispetto»
Da forma a sostanza attraverso l’attuazione del principio della
protezione dei dati «by design»
Valutazione di impatto sulla protezione dei dati
Accountability Principio di
Trasparenza
9. Come rimanere a norma tra obbligo di
sicurezza e necessità di controllo.
10. L. 20 maggio 1970, n. 300 (Statuto dei Lavoratori)
Art. 4. Impianti audiovisivi.
1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza
dell'attività dei lavoratori.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e
produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a
distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In
difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove
occorra, le modalità per l'uso di tali impianti.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo
comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la
commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della
presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli
impianti suddetti.
4. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il
datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione
interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni
dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.
11. RIFORMA DELL'ART. 4 | STATUTO DEI LAVORATORI E PRIVACY
«ART. 4. Impianti audiovisivi e altri strumenti di controllo.
Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza
dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e
produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere
installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle
rappresentanze sindacali aziendali.
In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione
ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente
più rappresentative sul piano nazionale.
In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere
installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di
imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro,
del Ministero del lavoro e delle politiche sociali.
La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi
al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità
d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto
legislativo 30 giugno 2003, n. 196».
12. Adatta la normativa tenendo conto della tecnologia utilizzata dalle aziende.
Tecnologia intesa come vantaggio competitivo grazie ad una maggiore operatività
ed efficienza, che deve però essere associato ad una policy aziendale precisa e
condivisa con i dipendenti, che rispetti comunque la normativa sul controllo a
distanza del lavoratore, ma che possa dare più tutela all’azienda.
Nuovo Art. 4 in sintesi…
13.
14.
15.
16.
17. Come rimanere a norma tra obbligo di sicurezza e necessità di controllo.
Responsabilità e obbligo di trasparenza lo ritroviamo in tutte le aree che
riguardano la Normativa ed
i suoi successivi provvedimenti.
Alcuni esempi:
Disaster Recovery Plan
Mobile
Posta elettronica
Cloud
DLP
18. Best practices
Backup o Disaster Recovery
Disaster Recovery Plan
Si intende l’insieme di misure tecnologiche e
organizzative/logistiche atte a ripristinare
sistemi, dati e infrastrutture necessarie a seguito
di emergenze che ne intacchino la regolare
attività.
RTO: Recovery Time Objective RPO: Recovery Point Objective
19. Best practices Disaster Recovery Plan
Passaggi essenziali:
Dove sono i dati
Verifica del backup
Simulazione in caso di disastro
Quale disastro/incidente?
Non solo eventi catastrofici ma anche
perdita volontaria o accidentale,
errori umani…
Per ogni incidente si
registra una reazione
Nota Bene:
Il DRP è una prerogativa obbligatoria e
sarà ancora più importante nel Nuovo
Regolamento Europeo – (concetto Data Breach)
Da OBBLIGO a NECESSITA’
20. Best practices Data Loss Prevention
Sistemi che identificano, monitorano e proteggono i dati dell'azienda, con il fine di individuare e
prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.
Antivirus?
Anti-malware?
Non sono più sufficienti
Controlli
ed Alerts
Se si garantisce la compliance normativa, c’è la possibilità di intervenire in caso di anomalie.
21. Best practices Posta elettronica
Tutela del lavoratore e tutela dell’azienda:
Dalla Normativa:
Confidenzialità: Le informazioni di carattere personale trattate possono
riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata.
In base al richiamato principio di correttezza, l'eventuale trattamento deve essere
ispirato ad un canone di trasparenza
Policy:
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in
modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a
disposizione ritenute corrette e se, in che misura e con quali modalità vengano
effettuati controlli.
22. Best practices Posta elettronica
Le aziende oltre a stabilire Policy di comportamento devono poi cambiare
approccio tecnologico differenziando
Backup da Archiviazione.
23. Quanti dipendenti hanno la posta
elettronica aziendale configurata sul
loro smartphone personale?
Siete sicuri di saperlo precisamente?
Ne AVETE LA CERTEZZA?
Best practices Mobile
Quali informazioni transitano dal Mobile?
Come è stata decisa la Sicurezza? ( protezione malware, furto- volontario o involontario…)
24. Best practices Mobile
(Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende
ne sta supportando ufficialmente l’uso < 20%)
1. Eterogeneità delle caratteristiche tecnologiche
2. Vulnerabilità tecniche
3. Comportamenti non idonei e non consapevolezza
4. BYOD – promiscuità dei dati personali e aziendali
5. Difficoltà di controllo su utilizzo e raccolta dati
(fotocamera)
6. Elevata probabilità di furto o perdita
7. Mancanza di preliminare analisi dei rischi
8. Mancanza di procedure di incident handling
9. Non analisi dei trattamenti effettuati
10. Non applicazione delle misure minime di sicurezza
25. Best practices Cloud
Quadro normativo
Il cloud computing ha diverse implicazioni sotto il profilo giuridico.
Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico.
Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate.
In questo complesso quadro, la valutazione deve tenere conto:
Codice in materia di protezione dei dati personali
Linee guida del Garante e successivi provvedimenti
Regolamento Europeo
nuova ISO/IEC 27018:2014
26. Best practices Cloud
Garante Privacy italiano, nel giugno 2012, ha pubblicato un vademecum informativo intito-lato
«Proteggere i dati per non cadere dalle nuvole»
EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL
FORNITORE
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ
DEI DATI
ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI
NECESSITÀ
SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA
NON PERDERE DI VISTA I DATI
INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I
DATI
ATTENZIONE ALLE CLAUSOLE CONTRATTUALI
VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI
ESIGERE ADEGUATE MISURE DI SICUREZZA
FORMARE ADEGUATAMENTE IL PERSONALE
Quadro normativo – Linee guida del Garante
27. Best practices Cloud
In caso di effettiva libertà decisionale nel definire i caratteri essenziali del trattamento da
parte sia del cliente che del provider cloud si parla di autonomi titolari del trattamento;
fornitore e cliente sono entrambi titolari.
Se le finalità, i mezzi di utilizzo e i termini vengono ricondotti ad un unico flusso di
informazioni dal cliente verso il fornitore, e quindi dal Titolare verso il Responsabile. Si parla
allora di due distinte figure con compiti precisi differenti.
E il fornitore di servizio cloud … qual è il suo ruolo?
Importante:
In caso di violazioni commesse dal provider anche il
titolare del trattamento dovrà rispondere di un
eventuale illecito.
Non sarà ritenuto valida la «scusa» di non aver avuto la possibilità
imporre le proprie clausole, o di non aver avuto le sufficiente garanzie e
possibilità di controllo. Le possibilità di scelta di fornitori sono tante. E’
compito del titolare valutare coloro che offrano maggiori garanzie circa il
rispetto della normativa sulla protezione dei dati personali.
Nel Regolamento Europeo viene affrontato il delicato tema di responsabilità in particolare in merito
all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing.