A partire dal 25 maggio 2018 le aziende dovranno essere compliant alla normativa GDPR . in questo webinar Insieme a Varonis abbiamo fatto il punto sulla roadmap per la compliance.

1. Per attivare il
collegamento audio:
1) Clicca su Audio  Audio Connection
2) Seleziona una di queste opzioni
Chiama usando il computer
Clicca su Call Using Computer , esegui il
test audio, e clicca su OK
Chiama al telefono
Chiama 80079-8322
Oppure 0230410446 e inserisci il pin
928 951 105
Fatti richiamare
Clicca su Call ME, inserisci il numero al
quale vuoi essere richiamato e clicca su OK
A LEADER IN SOLID STATE
ARRAYS
2017 Gartner Magic
Quadrant for
Solid State Arrays
© 2018 NetApp, Inc. All rights reserved.1

2. SPEAKERS
GiamPaolo Cusati
System Engineer,
NetApp
Andrea Cantarelli
Sales Manager
Varonis
© 2018 NetApp, Inc. All rights reserved.2

3. IOT, MACHINE LEARNING &
ANALYTICS PER L’AZIENDA DATA
DRIVEN
16 Gennaio 2018
DATA PROTECTION & AVAILABILITY
SEI UN DATA GUARDIAN?
30 Gennaio 2018
ALL FLASH – INNOVAZIONE E
OPPORTUNITA’ PER ESSERE DATA
READY
12 Dicembre 2017
100 DAYS to GDPR: LA GUIDA
PRATICA DI NETAPP
13 Febbraio 2018
© 2018 NetApp, Inc. All rights reserved.3

4. Regolamento Generale su Protezione Dati
▪ Prima e soprattutto una questione legale – non una questione IT
▪ Sostanziale Revisione delle norme EU su protezione dati
▪ GDPR riguarda OGNI azienda, ovunque nel mondo, che gestisca
dati di cittadini EU
▪ Previste Multe fino a €20mil. o pari al 4% dei ricavi globali per ogni casistica.
Esempio: una multa GDPR pari al 4% dei ricavi globali applicata su una
grande multinazionale da 150B = $6B!
▪ Potenziali Sanzioni renderanno la GDPR massimamente prioritaria nei conti
di tutti i dipartimenti IT all’interno delle principali imprese e multinazionali,
sovrastando, in alcuni casi, l’importanza di altri progetti IT
Data Security NON è Data Privacy
▪ Privacy – raccolta, uso, condivisione, storage e trasferimento legale di dati;
legislazione e regolamenti
▪ Security – Fortezza attorno ai dati
Panoramica su concetti-chiave
© 2018 NetApp, Inc. All rights reserved.4

5. Cosa devono fare le Aziende
▪ Saranno tenute a rispettare le nuove norme GDPR dal 25 Maggio 2018. Gli obblighi includono:
▪ Fare riferimento ad ogni Dato Personale riguardo cittadini EU
▪ ‘Right to be Forgotten’ – Rispondere velocemente a richieste di rimozione/distruzione di dati cittadini EU
▪ Nomina di un “Data Protection Officer” – Responsabile del rispetto della disciplina GDPR
▪ Dati personali possono essere raccolti e conservati solo dopo libero ed esplicito consenso
▪ Dati personali possono essere accessi ed elaborati solo tramite esplicito consenso
▪ I Soggetti coinvolti, inoltre, sono tenuti a:
▪ Ridurre al minimo la raccolta di Dati Personali – SOLO se necessari ai fini aziendali
▪ Sapere dove hanno locato i Dati Personali e gestirli a seconda del caso
▪ Poter esercitare il ‘Right to be Forgotten’ a prescindere da dove i Dati sono stati localizzati
▪ In caso di Data Breach devono fare notifica ai regolatori entro 72 ore
▪ Esempi di Ruolo:
▪ Responsabile: Chief Privacy Officer (CPO)/Data Protection Officer (DPO)
▪ Collaboratori: General Counsel (GC), Chief Information Officer (CIO), Chief Information Security Officer (CISO),
Chief Financial Officer (CFO), Chief Data Officer (CDO.)…
© 2018 NetApp, Inc. All rights reserved.5

6. © 2018 NetApp, Inc. All rights reserved.
#
6

7. Una miriade di articoli GDPR: dove ci può aiutare la Tecnologia?
Articolo 6
Liceità del
trattamento
Articolo 23
Limitazioni sui dati
Articolo 32
Sicurezza del
trattamento
Articolo 35
Valutazioni impatto
sulla protezione
Dati
Articolo 25
Protezione dati by
design & by default
Articolo 17
“Diritto alla
cancellazione ” e
“diritto all’oblio”
Articolo 20
Portabilità dei dati
Articolo 30
Registro dei
trattamenti
Articoli 44-50
Trasferimento Dati
© 2018 NetApp, Inc. All rights reserved.7

8. Comprensione Dati per attenersi alla GDPR
Governance
Risk
Compliance
Dove Quale
Provenienza Caso
Governance
• GRC: Come mi conformo al
regolamento?
• Dove sono i miei dati: Unstructured,
structured, backups, cloud etc.?
• Quali informazioni personali sono
contenute nei dati?
• Qual’è la provenienza dei miei dati
e il loro ciclo di trasformazione e di
vita?
• Gestione Casi GDPR Right-to-be-
Forgotten etc.
• Mantenimento della Governance sui
miei dati
© 2018 NetApp, Inc. All rights reserved.8

9. Come la tecnologia può supportare la norma GDPR
Comprendere
i tuoi Dati
Rinforzare la
sicurezza dei Dati
Garantire la disponibilità
dei Dati
Assicurare il Trasferimento
e la Portabilità dei Dati
Manutenzione
Governance
Dati
© 2018 NetApp, Inc. All rights reserved.9

10. La Value Proposition NetApp
▪ Aiutare le Aziende a rispettare e prepararsi ai regolamenti
GDPR dell’EU
▪ NetApp ha una elevatissima competenza ed esperienza
sulla Global Data Privacy ed è una delle prime 100
aziende americane ad aver adottato le BCRs (Binding
Corporate Rules)
▪ La nostra strategia Data Fabric garantisce alle Aziende la
possibilità di gestire, proteggere e rendere sicuri i Dati
Personali ovunque l’accesso venga richiesto
© 2018 NetApp, Inc. All rights reserved.10

11. Understanding your Data –Se non conosci dove risiedono I tuoi Dati, Structured, Unstructured,
Backup & Cloud allora non sarai in grado di trovare, classificare, proteggere e compiere azioni su quei Dati.
Riesci a mostrare e tracciare la provenienza dei tuoi Dati man mano che questi vengono processati e
trasformati all’interno della tua organizzazione?
Ensuring Data Availability – I Dati devono essere disponibili (e recuperabili) in maniera
sicura non solo per essere elaborati, ma anche per rispondere ai quesiti e richieste da parte
del Proprietario dei dati.
Enforcing Data Security – I Dati raccolti riguardo un Cittadino EU devono essere messi in
sicurezza contro accessi non autorizzati e furti, tramite Encryption e Access control. La
documentazione della Data Activity deve, allo stesso modo, essere tenuta in sicurezza.
Providing for Data Portability and Data Transfer – I Dati devono essere standardizzati,
accessibili e trasportabili, non solo al Proprietario Dati ma anche ai Controllori Dati.
Maintain Data Governance – La Governance dei dati dovrebbe essere fornita a livello
continuativo. Controlla i tuoi Dati, assicurati di poterli gestire in maniera dinamica e
automatica.
I principi generali sui dati del GDPR
© 2018 NetApp, Inc. All rights reserved.11

12. Tecnologie NetApp – Un aiuto per la Compliance al GDPR - I
© 2018 NetApp, Inc. All rights reserved.
17
35
Discovery di informazioni in infrastrutture
Eterogenee On-Premise ed in Cloud usando
NetApp OnCommand Insight (OCI)
Integrazione ed Automazione
dell’anonimizzazione dei database usando
NetApp SnapManager, SnapCenter e
WorkFlow Automation (WFA) in ONTAP
6
23
Disponibilità Continua dei Dati, Sicurezza
in Disaster Recovery, Backup Criptati
usando l’intero portafoglio NetApp Data
Storage e la tecnologia AltaVault
30
23
32
Verifiche e simulazioni continue di
disponibilità dei Dati in modo non-
disruptive alle applicazioni usando la
tecnologia NetApp FlexClone in ONTAP
23
32
Encryption, Controllo Accessi ed
Auditing di livello Enterprise per le
soluzioni dell’intera offerta NetApp25
23
32
Art.6 : Liceità del Trattamento : il titolare del trattamento deve
tenere conto dell’esistenza di adeguate garanzie comprendenti
cifratura e/o pseudonimizzazione
Art.35 : Valutazione d’Impatto sulla protezione dei dati : il titolare
del trattamento effettua, prima di procedere, ad una valutazione degli
impatti dei trattamenti previsti, compresa una valutazione basata su
trattamento automatizzato, fine trattamento, misure di sicurezza e
meccanismi di protezione dei dati e conformità delle misure
.
Art.25 : Protezione dei Dati fin dalla progettazione e
protezione per impostazione predefinita : .. Il titolare del
trattamento mette in atto misure tecniche e organizzative
volte ad attuare efficacemente la protezione dei dati e ad
integrare nel trattamento le necessarie garanzie
Art.32 : Sicurezza del trattamento: il titolare del trattamento mette
in atto misure tecniche ed organizzative per garantire adeguati livelli
di sicurezza: riservatezza, integrità, resilienza di sistemi e servizi di
trattamento; ripristino tempestivo di disponibilità ed accesso ai dati
in caso di incidente
Art.32 : Sicurezza del trattamento: il titolare del trattamento mette
in atto misure tecniche ed organizzative per testare, verificare e
valutare regolarmente l’efficacia di misure tecniche usate per la
sicurezza del trattamento dei dati
12

13. Tecnologie NetApp – Un aiuto per la Compliance al GDPR - II
© 2018 NetApp, Inc. All rights reserved.
Registrazione dei dati Non Modificabile
ed Immutabile (WORM) usando la
tecnologia NetApp SnapLock
30
32 35
17
25 32
Gestione e Management dei Dati in modo
dinamico e con policy usando NetApp
StorageGRID WebScale (object storage)
17
6
Automazione per Gestione dei Dati
usando NetApp WorkFlow Automation
(WFA), le API, la gestione dei Livelli di
Servizio (SLA) con QoS (Quality of Service)
6
32 44-50
23 Ripristino Dati colpiti da Ransomware,
per indagini Forensi e/o Giudiziarie,
usando NetApp SnapShot e FlexClone
23
32
Portabilità e Spostamento Dati trasparente
e controllato nel Cloud Ibrido utilizzando le
soluzioni nella NetApp Data Fabric
Art.30 : Registri delle attività di trattamento:il titolare del trattamento
tiene un registro delle attività di trattamento svolte sotto la propria
responsabilità. I registri sono tenuti in forma scritta ed elettronica e
devono essere messi a disposizione dell’autorità di controllo.
Art.25 : Protezione dei Dati fin dalla progettazione e protezione
per impostazione predefinita : Il titolare del trattamento mette in atto
misure per garantire quantità dei dati raccolti, portata del trattamento,
periodo di conservazione, accessibilità, protezione dei dati.
Art.23 : Limitazioni : Il diritto dell’Unione o dello Stato del titolare del
trattamento può limitare la portata di obblighi e diritti in caso di :
finalità del trattamento; categorie di dati; prevenzione di abus o
accessi o trasferimenti illeciti; periodi di conservazione; rischi per
diiritti e libertà degli interessati.
Art.17 : Diritto alla cancellazione (diritto all’oblio): diritto di ottenere
dal titolare del trattamento dei dati personali la cancellazione senza
ritardo. Il titolare del trattamento è obbligato a cancellarli tenendo
conto della tecnologia disponibile.
Art. 44, 45, 46, 47, 48, 49, 50 : Trasferimento dei dati, Deroghe,
Norme vincolanti, Cooperazione internazionale sulla protezione
dei dati personali : una serie di norme relative al trasferimento dei
dati con mantenimento di adeguati livelli di protezione e riesame
periodico quadriennale dei meccanismi di protezione dei dati
13

14. NetApp – Lavora con i Partner per rispettare la norma GDPR
BSI Cybersecurity & Information Resilience (formally Espion)GRC Consultancy
Capire come ottemperare alla norma GDPR
Data Discovery
Dove sono i miei Dati? Quali informazioni PD contiene? Posso trovarli
su richiesta?
Data Lineage
Tracciare il percorso dei tuoi Dati
Case Management
Per RTBF, come posso gestire e tracciare le richieste?
Data Governance
Controlli all’ accesso, supervisione, protezione, disponibilità,
affidabilità, spostamento
Note: La lista dei non è completa ed è in evoluzione .
© 2018 NetApp, Inc. All rights reserved.14

15. Our mission is to protect data from insider threats and cyberattacks.
Operational Plan GDPR
Andrea Cantarelli – Business Development
acantarelli@varonis.com

16. GDPR : General approach
Step 1: Governance Step 2: Mapping
Nominate a DPO
Setup a "GDPR
Committee" (CISO /
IT / DPO)
Data processing inventory +
applications / portals / contracts
Classification / discovery for
unstructured data
Step 2 - bis: Align and quickly
reduce the risk on data
Delete stale data. Delete
abusive access rights on
listings
Step 2 - ter: Protect Behavioral
Alerts to Prevent Data Leakage or
Disclosure
Step 3: Prioritize &
awareness
Ex: website /
intranet mentions
Risk treatments
Employee
enablement
VARONIS reports
to make
transparent /
remind
Step 5: Organize
Review & Process
Adaptation
Step 4: Manage the
risks
PIA - risk analysis for
risk treatments
Automate
processes
Continuous
improvement
Step 6: Document
See ISO PDCA /
documentation of
each step

17. Introduction : GDPR, also a story of unstructured data
People Rights enforcement
• Access, rectification, forgetting, opposition ...
• Information
• Data Retention …
Personal Data Security
• Privacy Impact Assessment. Privacy, Integrity, Availability
• Obligation to notify violations within 72 hours
• Privacy By Design / By default
B2B B2C Support functions
Internet
Portal
Bussiness app.
Unstructured data (Office Shares, Office 365 - OneDrive,
SharePoint, ...)
Exports, listings
Data processing (Supplier management, Payroll, Services, retailer, ...)
GDPR
objectives
Business / Activity
Data processing
Data &
Applications
VARONIS Compliance Scope

18. Introduction : Value proposition
Enterprise class solutions for
business productivity (cloud like,
search…)
Structured
data (ERP,
CRM, …)
DATA!
Unstructured Data (File servers, SharePoint, Exchange, Cloud platforms,…) and Active Directory
PHI
(Personal Health Identifier)
PII
(Personal Information Identifier)
PCI
(Payment Card Industry)
IP
(Intellectual Property)
HR, Customer, Supplier, Intellectual Property, Regulated Data, …
Discover on
sensitive Data
& Classify
Control Access
to data
(permissions)
Track control &
inspect data
usage
Analyze data
and directory
security
Remediation &
Alignment
Analytics &
Alerts
GDPR

19. Align and quickly reduce the risk
Step :
Fix inconsistent/broken ACL’s
Eliminate global access groups around sensitive data
Eliminate remaining global access groups
Address AD artifacts (empty, unused security groups,
non-expiring passwords, etc.)
Address retention/disposition by quarantining, archiving,
and deleting stale data
Benefits :
Significant risk reduction
Defensible position with respect to compliance
More efficient usage of storage
Reduced complexity increases operational efficiency
Requires: DA, DCF, AE, DS

20. Deploy Varonis
Map your environment
Begin monitoring user/account/data
behavior
Start automated discovery/classification
Prioritize and assess risks, identify
sensitive data
Prioritize scope by sensitivity, staleness,
department criticality, etc.
Discovering your information heritage in the
GDPR context
Can be accomplished quickly
Requires: DA, DCF, DS
Classification / discovery for unstructured data

21. Protect / UBA Alerts
Steps :
Prioritize and create incident response plan for alerts, including automated
responses
Train staff on day to day management, including reports, permissions and AD
management, finding lost files, etc.
Identify known data retention and disposition policies in a GDPR context
Benefits :
Incident response plans and automation reduce risk of data theft and loss
Staff becomes more operationally efficient with day to day tasks
Requis : DA, DCF, DLS

22. © 2018 NetApp, Inc. All rights reserved.
#
22

23. NetApp Data Fabric
Mantieni il pieno controllo dei tuoi dati
© 2018 NetApp, Inc. All rights reserved.
On-premOff-prem
Factory Floor
Remote Office
Data Room
Enterprise
Data Centre
Service Provider
Cloud
Hyperscaler
Cloud
Engineered Data Storage
Software Defined Data Storage
Cloud Data Storage
Data Protection
Data Security
Data Management
Hybrid Cloud Data Mobility
Data Visibility
Data Automation
Data Availability
DataFabric
23

24. NetApp Data Fabric for Transformation as “GDPR compliant”
Non-NetApp Storage
EMC, Hitachi, Others
E/EF Series
AltaVault™ ONTAP®
Select
SolidFire®
NetApp Storage
Privato
FAS/AFF
AltaVault-C
OnCommand® and
Automation
Service
Providers
Cloud Sync
Data Fabric
Cloud Services
© 2018 NetApp, Inc. All rights reserved.24

25. GRAZIE!
GiamPaolo Cusati
System Engineer,
NetApp
Andrea Cantarelli
Sales Manager
Varonis
© 2018 NetApp, Inc. All rights reserved.25

26. FLASH: WHAT’S NEXT?
17 Aprile 2018
IPERCONVERGENZA 2.0:
NETAPP HCI IN ACTION
14 Marzo 2018
© 2018 NetApp, Inc. All rights reserved.26

27. © 2018 NetApp, Inc. All rights reserved.27
#
Replay