In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" ("data breaches") che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
DFLabs propone un approccio integrato e modulare tra Consulenza (Policy e Procedure di Data Breach), Servizi (Incident Response) e Tecnologie di Incident management (IncMan Suite). In particolare, Incman consente di gestire interamente l'inventario e la reportistica sul data breach richiesta dal Garante Privacy.
Data Breach e Garante Privacy: Problemi e soluzioni
1. Data Breach: nuovo provvedimento del
Garante Privacy: La risposta di DFlabs
Dario V Forte, CISM, CFE, CGEIT
Founder and CEO
DFLabs
www.dfdlabs.com
2. About DFLabs
Specializzata in Governance Risk and Compliance
dal 2004
Tre practices: Consulting, Professional Services &
Technologies
Fortune 1000 Customers.
Sedi in Italia, USA, Russia.
Due Patent Pending negli USA ed Europa.
3. Agenda
Il nuovo provvedimento del Garante Privacy in
materia di data breach
I rischi di tipo normativo e sanzionatorio
La proposta di Dflabs in materia di Data Breach
Investigations: Consulenza, Servizi e Software
Dedicato.
Contatti e demo: IncMan Suite.
4. Risk Mitigation Benchmark
Fonte: Dflabs&Terremark
Incident
IT Prevention and
SecurityProcess Preparation
Management and (Including
Support, including Enterprise Forensics and
vulnerability Business Fraud)
Security
management
Application
Incident Security
Response and Management
investigation Business Risk Management,
(Including Policy, standards, Technologies, Legal and guidelines
Forensics and
Fraud)
Page 4
5. Data Breach e Garante Privacy
In caso di distruzione o perdita dei dati personali società telefoniche
e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima
protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di
avvisare gli utenti dei casi più gravi di violazioni ai loro data base che
dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel
settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il
Garante per la privacy ha fissato un primo quadro di regole in base alle
quali le società di tlc e i fornitori di servizi di accesso a Internet saranno
tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti
le "violazioni di dati personali" ("data breaches") che i loro data base
dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali
incendi o altre calamità.
6. Incombenze (1)
Chi deve comunicare le violazioni
L'obbligo di comunicare le violazione di dati personali spetta
esclusivamente ai fornitori di servizi telefonici e di accesso a
Internet.
L'adempimento non riguarda – al momento - le reti aziendali, gli
Internet point (che si limitano a mettere a disposizione dei clienti
i terminali per la navigazione), i motori di ricerca, i siti Internet
che diffondono contenuti.
7. Incombenze (2)
La comunicazione al Garante
La comunicazione della violazione dovrà avvenire in maniera
tempestiva: entro 24 ore dalla scoperta dell'evento, aziende tlc e
Internet provider dovranno fornire le informazioni per consentire una
prima valutazione dell'entità della violazione (tipologia dei dati
coinvolti, descrizione dei sistemi di elaborazione, indicazione del
luogo dove è avvenuta la violazione).
Aziende telefoniche o internet provider avranno 3 giorni di tempo
per una descrizione più dettagliata. Per agevolare l'adempimento il
Garante ha predisposto un modello di comunicazione disponibile
on line sul suo sito (www.garanteprivacy.it)
All'esito delle verifiche, i provider dovranno comunicare al Garante le
modalità con le quali hanno posto rimedio alla violazione e le misure
adottate per prevenirne di nuove.
8. Incombenze (3)
La comunicazione agli utenti
Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp
avranno l'obbligo di informare anche ciascun utente delle violazioni
di dati personali subite. I criteri per la comunicazione dovranno
basarsi sul grado di pregiudizio che la perdita o la distruzione dei
dati può comportare (furto di identità, danno fisico, danno alla
reputazione), sulla "attualità" dei dati (dati più recenti possono
rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati
(finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti.
La comunicazione agli utenti deve avvenire al massimo entro 3
giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato
misure di sicurezza e sistemi di cifratura e di anonimizzazione che
rendono inintelligibili i dati.
9. Incombenze (4)
I controlli del Garante
Per consentire l'attività di accertamento del Garante, i provider
dovranno tenere un inventario costantemente aggiornato delle
violazioni subite che dia conto delle circostanze in cui queste si sono
verificate, le conseguenze che hanno avuto e i provvedimenti
adottati a seguito del loro verificarsi.
Le sanzioni
Non comunicare al Garante la violazione dei dati personali o
provvedere in ritardo espone a una sanzione amministrativa che
va da 25mila a 150mila euro. Stesso discorso per la omessa o
mancata comunicazione agli interessati, siano essi soggetti
pubblici, privati o persone fisiche: qui la sanzione prevista va da 150
euro a 1000 euro per ogni società o persona interessata. La
mancata tenuta dell'inventario aggiornato è punita con la
sanzione da 20mila a 120mila euro.
10. Cosa comporta ideare e individuare contromisure
Conoscenza approfondita della matrice target/rischio
Conoscenza adeguata delle tipologie di contromisure
disponibili nei seguenti settori:
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Committment aziendale almeno a C-Level
11. DFLabs Background
DFLabs è preferred partner di Beazely International (lloyds of London)
per le Data Breach Investigations.
L’azienda è specializzata a livello internazionale in Organizzazione,
Politiche, Procedure e Technologies di Incident Management e Data
Breach
Oltre 2.3 Petabytes di Incident and Data Breach Investigati negli ultimi
3 anni.
Membri ISO. Co/Editor della 27043 e 27031
Oltre 250 clienti di fascia alta in tutto il mondo nello specifico settore.
12. La proposta di DFlabs
DFLabs propone una soluzione alla gestione dei
Data Breach su tre livelli:
Organizzativo/Procedurale
Software dedicato all’inventario e al reporting.
Servizi di supporto Data Breach Response
13. Workflow Management
Processi, Procedure ed operatività
Qualifica del livello di
Processo di gestione Processo di Reazione
severity degli incidenti
IODEF Engagement ed Procedure di reazione in
NIST escalation base alla severity
ITIL v3 (se richiesto) Rapporti con l’AG/PG Reazione Vs
Mappatura di quanto Rapporti con gli organi di Hacking/Malicious Code
esistente o creazione del vigilanza interni ed Reazione Vs Attacchi Su
modello esterni Target Cliente
Processo di Digital Reazione VS attacchi su
Forensics. target esterni
Training and Testing
14. L’Inventario degli incidenti:
IncMan Suite - Modules
CompRisk
Incidents are mapped to IT risk repositories and help the GRC team to evaluate incident’s risk to the
organization
DIM IMAN ITILity
Digital Investigation Manager IMAN manages IT and corporate ITILity provides troubleshooting
(DIM) is designed for IT security incidents. The tool covers and help desk support to manage
environments during incident all aspects concerning incident IT incidents under the ITIL
response and forensics operations. management whether simple or standard
DIM enables users to catalog all complex. The IMAN module
the relevant information and supports anonymous reporting of
automatically imports data incidents and ethics violations.
generated by other applications.
15. IncMan Top Features
Gestisce oltre 170 categorie di dati su di un encrypted database
Completo Role Management .
Totalmente clientless.
IODEF Compliant
IT GRC Features: Ipuò contenere un numero illlimitato di controlli IT, Security e compliance
Wizard – il Cliente puo’ creare una serie illimitata di template completamente riutilizzabili
Knowledge base – il Cliente può fruire di un repository dinamico di documenti, politiche e
procedure facilmente consultabili dagli utenti autorizzati
Agile reporting – Oltre 100 report customizzabili dal Cliente già pronti all’uso
Secure access – varie tipologie di autenticazione disponibili
Case notes – è possibile gestire i casi, gli incidenti, gli inventari e le comunicazioni in totale
autonomia.
Open Architecture: può interagire automaticamente con l’infrastruttura di sicurezza esistente
in azienda
Saas and Cloud Ready: fornisce al Cliente un nuovo ventaglio di opportunità di business. I
Clienti possono fruire di varie viste, dal management, alla dashboard all’accesso read only.
Page 15
16. IncMan Suite integrations
•Log management/SIEM management
•Arcsight
•Xpolog
•Envision
•Symantec
•AV/UTM/IPS/IDS
•Basically all the SIEM that can generate parsable content-
•Vulnerability Assessment tools:
•Nessus & co.
•Forensic and Incident Response products
•Encase Enterprise
•PTK
•FTK
•X-Ways
•Oxygen
•Hardware acquisition tools (SOLO3, SOLO4, Tableau TD1, Logicube)
•Mobile
•Network forensic
•Netwitness
Page 16
18. Example CSIRT/SOC:
Incident Information flow
CSIRT/SOC Operators and
Incident A Supervisors
(Internal)
C-Level
Dashboard
Reports End Users
Information
Automation Authorities
Incident B
(Customers)
Data search
Service Follow Up
Incident C
(Blended)
Page 18
19. IncMan Suite – Dashboard
•La Dashboard è stata disegnata per conferire il massimo impatto visuale in un formato
immediatamente comprensibile, unitamente all’uso di metriche e KPI;
•Tutte le categorie di dati gestiti da IncMan possono confluire in roadmap
•Sono disponibili, on the shelf, una serie di grafici già pronti per l’uso immediato.
Page 19
20. Dflabs Incman
a supporto della Compliance
Inventario Completo degli incidenti (oltre 170 categorie di informazioni)
Reportistica completa nei confonti di Garante, organi di controllo ed
utenti finali
GRC Features (Controlli IT Security a dimostrazione delle contromisure
adottate in caso di Data Breach)
Security Asset Management
Interazione automatica con l’infrastruttura di sicurezza del Cliente
21. Dflabs Incman: generazione report
per il Garante Privacy
In sede di reportistica,
l’operatore sceglie di inviare il report al Garante Privacy
22. Dflabs Incman
a supporto della Compliance
Il template (Customizable) è totalmente mappato
sulle istruzioni fornite dal Garante
23. Dflabs Incman
a supporto della Compliance
Le informazioni
contenute nel Report
vengono
automaticamente
memorizzate sul
database protetto
dell’applicazione.
26. Conclusioni
Il Risk Response è ormai divenuto un must e, per
quanto riguarda l’information security, rientra nella
disciplina dell’incident management
Richiede un impiego di risorse di varia provenienza e
un budget adeguato
L’aspetto tecnologico è sicuramente abilitante e va
sviluppato in parallelo rispetto a quello organizzativo
È richiesta la massima consapevolezza da parte
degli utenti finali
Dflabs è in grado di fornire un package completo per
il supporto al Cliente su ogni tipo di Data Breach
27. THANKS
Dario V Forte, CFE, CISM. CGEIT, Founder
and Ceo DFLabs Italy,
Info@dflabs.com
www.dflabs.com