#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
La sicurezza nel regolamento 679/2016 (GDPR)
1. La sicurezza nel GDPR: dall'analisi dei rischi
alla disclosure dei data breach.
Alessandro Vallega - Europrivacy, Clusit, Oracle
Il nuovo regolamento europeo in materia di trattamento dati personali:
gli elementi di maggiore rilevanza
17 gennaio 2017, Milano
EUROPRIVACY.INFO
@EUROPRIVACY
3. @EUROPRIVACY
SICUREZZA
32
DEL GDPR
misure tecniche e
organizzative adeguate
5 - Principi applicabili al trattamento
24 - Responsabilità del titolare del trattamento
25 - Protezione dei dati fin dalla progettazione e
protezione per impostazione predefinita
28 - Responsabile del trattamento
(OBBLIGO)
34 - Comunicazione di una violazione dei dati
personali all'interessato
(OPPOR.)
83 - Condizioni generali per infliggere sanzioni
amministrative pecuniarie
4. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
5. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
MISURE
ADEGUATE
6. @EUROPRIVACY
ADEGUATO AL
RISCHIO
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
MISURE
ADEGUATE
7. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
8. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
9. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
DI NUOVO IL
RISCHIO
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
10. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
A TITOLO DI
ESEMPIO
DI NUOVO IL
RISCHIO
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
11. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
1 TECNOLOGIA
A TITOLO DI
ESEMPIO
DI NUOVO IL
RISCHIO
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
12. @EUROPRIVACY
Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
1 TECNOLOGIA
A TITOLO DI
ESEMPIO
DI NUOVO IL
RISCHIO
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
REQUISITI
13. @EUROPRIVACY
Art 32.2 Nel valutare l'adeguato livello di sicurezza, si tiene conto in special
modo dei rischi presentati dal trattamento che derivano in particolare dalla
distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata
o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,
conservati o comunque trattati.
Art 32.3 L'adesione a un codice di condotta approvato di cui all'articolo 40 o
a un meccanismo di certificazione approvato di cui all'articolo 42 può essere
utilizzata come elemento per dimostrare la conformità ai requisiti di cui al
paragrafo 1 del presente articolo.
Art. 32.4 Il titolare del trattamento e il responsabile del trattamento fanno sì
che chiunque agisca sotto la loro autorità e abbia accesso a dati personali
non tratti tali dati se non è istruito in tal senso dal titolare del trattamento,
salvo che lo richieda il diritto dell'Unione o degli Stati membri
ANCORA
REQUISITIANCORA
REQUISITICODICI DI
CONDOTTACERTIFICA-
ZIONI
14. @EUROPRIVACY
SICUREZZA
32
DEL GDPR
REQUISITI
DI NUOVO IL
RISCHIO
ADEGUATO AL
RISCHIO
MISURE
ADEGUATE
ANCORA
REQUISITIANCORA
REQUISITI
CODICI DI
CONDOTTA
CERTIFICA-
ZIONE
REQUISITI
REQUISITI
1 TECNOLOGIA
A TITOLO DI
ESEMPIO
COSTO DELLE
MISURE
EVOLUZIONE
TECNOLOGICA
16. @EUROPRIVACY
Come ci aiuteranno le
certificazioni e i codici di
condotta?
Cosa ci chiederanno
l’ispettore del Garante e
il perito del tribunale in
merito alle misure di
sicurezza?
17. @EUROPRIVACY
Loro faranno riferimento ad alcune best practices di
sicurezza come:
• Strong / Multilevel / Federated
Authentication
• Adaptive / Fine Grained Access Control
/ Authorization
• Segregation of Duties
• Need to Know / Least Privilege
• Accountability / Log Management
• Encryption
• Anonymization and Pseudinymization
• Segregation of Environment
• Secure Configuration Management
• Hardening
• Attestation & Role Management
18. @EUROPRIVACY
Noi purtroppo sappiamo che c’è ampio margine di
miglioramento nei nostri reparti IT
• Password di gruppo e condivise
• Ampio accesso a produzione, tollerato o
previsto
• Copie di produzione per sviluppo e test
• Nessun log o scarso e inefficace,
nessuna analisi e alerting
• Niente patching e sistemi operativi
obsoleti
• Privilegi eccessivi degli account
• Nessuna cifratura
• Assente controllo accessi
• Gestione frammentaria dell’identità
• Scarsa separazione dei compiti, delle
reti e degli ambienti
Il rapporto Clusit sulla Sicurezza ICT in
Italia ne descrive gli effetti e le cause.
Nell’edizione del 2016 abbiamo descritto i
“Most Common Mistakes” della gestione
dei dati nei DBMS
19. @EUROPRIVACY
DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE
LA CONFORMITA’ (ART. 24)
TENEREIL“REGISTRODEITRATTAMENTI”
(ART.30)
IDENTIFICAZIONEDELLE
APPLICAZIONIEDEI
DATABASE
GESTIRE LE IDENTITA’
PROTEGGERE I DATI
ADEGUARE IL PROCESSO DI GESTIONE DEGLI
INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE
VIOLAZIONI ART. 33 / 34)
• INTEGRARE LO ISMS AZIENDALE
(INFORMATION SECURITY
MANAGEMENT SYSTEM)
FARE L’ANALISI DEI RISCHI (E FARE LA
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE
DEI DATI ART.35)
• CONTROLLARE I PROFILI AUTORIZ-
ZATIVI DEGLI UTENTI / IT E ADMIN
• IMPORRE IL PRINCIPIO DEL “NEED TO
KNOW”
• GESTIRE REPOSITORY DI IDENTITA’
ON PREMISE E NEL CLOUD
• RACCOGLIERE E ANALIZZARE I LOG
• INTEGRARE IL SISTEMA AZIENDALE DI
GESTIONE DEI RISCHI
• CIFRARE I DATI (ART 32)
• MASCHERARE I DATI (CONSID. 26)
Da dove iniziare per rimediare?
20. @EUROPRIVACY
DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE
LA CONFORMITA’ (ART. 24)
TENEREIL“REGISTRODEITRATTAMENTI”
(ART.30)
IDENTIFICAZIONEDELLE
APPLICAZIONIEDEI
DATABASE
GESTIRE LE IDENTITA’
PROTEGGERE I DATI
ADEGUARE IL PROCESSO DI GESTIONE DEGLI
INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE
VIOLAZIONI ART. 33 / 34)
• INTEGRARE LO ISMS AZIENDALE
(INFORMATION SECURITY
MANAGEMENT SYSTEM)
FARE L’ANALISI DEI RISCHI (E FARE LA
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE
DEI DATI ART.35)
• CONTROLLARE I PROFILI
AUTORIZZATIVI UTENTI / IT E ADMIN
• IMPORRE IL PRINCIPIO DEL “NEED TO
KNOW”
• GESTIRE REPOSITORY DI IDENTITA’
ON PREMISE E NEL CLOUD
• RACCOGLIERE E ANALIZZARE I LOG
• INTEGRARE IL SISTEMA AZIENDALE DI
GESTIONE DEI RISCHI
• CIFRARE I DATI (ART 32)
• MASCHERARE I DATI (CONSID. 26)
Da dove iniziare per rimediare?
ALCUNE DELLE MISURE TECNICHE ADEGUATE
ALCUNE DELLE MISURE ORGANIZZATIVE
ADEGUATE
22. @EUROPRIVACY
Approfittiamo del GDPR per fare meglio l’IT
e grazie per l’attenzione
Alessandro Vallega
LinkedIn
Twitter U3L4
alessandro.vallega@oracle.com
www.europrivacy.info
Disclaimer: Lavoro in Oracle ma le opinioni espresse in questa presentazione sono le mie...