la sicurezza dei trattamenti a norma del … 22 maggio 2018 - tutte le seguenti slide faranno...
TRANSCRIPT
Pisa, 22 Maggio 2018
La sicurezza dei trattamenti a norma del regolamento UE 2016/679
Cosa resta da fare?Luca Bechelli Information & Cyber Security AdvisorP4I - Gruppo [email protected]
Direttivo e Comitato Tecnico Scientifico [email protected]
Pisa, 22 Maggio 2018
- Tutte le seguenti slide faranno riferimento al perimetro del mondo IT
- La verifica della conformità al GDPR è infatti l’insieme di numerosi adempimenti, solo una parte dei quali attribuibili al solo perimetro dell’area Sistemi Informativi di un’azienda
- In questa sessione ci concentreremo sul perimetro IT, per le peculiarità e la numerosità di adempimenti che devono essere soddisfatti
Disclaimer
Pisa, 22 Maggio 2018
NOVITA’ DEL REGOLAMENTO- Accountability del titolare- Privacy by design - Registro dei trattamenti- Valutazione dei rischi- Adozione di misure tecniche e organizzative adeguate- Data breach- Certificazione dei trattamenti- Valutazione d’impatto- Durata del trattamento- Data Protection Officer (DPO)- Responsabilità solidale di titolare e responsabile- Entità delle sanzioni
L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento
Pisa, 22 Maggio 2018
L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento
Le definizioni ed i principi generali previsti dal Codice Privacy restanosostanzialmente invariati, ma cambia la filosofia
Nuovo approccio metodologico, risk-based, basato sulla protezione dei dati dell’utente e sull’effettivo rischio per ogni azienda
La «privacy» deve essere calata all’interno dei processi e dell’organizzazione aziendale, come presupposto da considerare già nella fase di progettazione dei processi, servizi, prodotti o applicativi (cfr. «privacy by design»).
Da un sistema di tipo formalistico ad un sistema di Governance dei Dati Personali basato su un’alta responsabilizzazione sostanziale («accountability») del Titolare, a cui è richiesto proattività, cioè di prevenire e non correggere, nonché di dimostrare, tramite l’elaborazione di un idoneo sistema documentale di gestione della privacy e di appropriate policy interne, da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.
Pisa, 22 Maggio 2018
Tenuto conto di NATURA, AMBITO, CONTESTO, FINALITA’, RISCHI
Misure TECNICHE ed ORGANIZZATIVE ADEGUATE per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Dette misure sono riesaminate ed aggiornate qualora necessario.
Il TITOLARE è responsabile per la compliance ai principi privacy e deve essere in grado di DIMOSTRARLA (art. 4, co.2)
Ciò implica l’adozione di un SISTEMA DI GESTIONE DELLA DATA PROTECTION che consenta di gestire nel tempo la compliance
Mette in atto
Focus su ACCOUNTABILITY (art. 4, co.2 e 24)
L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento
Pisa, 22 Maggio 2018
Considerare la privacy sin dalla fase di progettazione
Formalizzare la documentazione di adeguamento ai singoli obblighi normativi
Attribuire ruoli e responsabilità in materia di data protection (organigramma privacy interno), coerentemente alle mansioni azienda
Prevedere regolamenti e procedureper la gestione della data protection
Implementare adeguate politiche di informazione aziendale e meccanismi di controllo interno per verificare l’applicazione delle misure e
Monitorare le misure ed aggiornale se necessario
Predisporre un SISTEMA DI GESTIONE DELLA DATA PROTECTION
L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento
Pisa, 22 Maggio 2018
Responsabilità del titolare (Accountability)
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi iltitolare del trattamento e il responsabile del trattamento siano coinvolti nello stessotrattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causatodal trattamento, ogni titolare del trattamento o responsabile del trattamento èresponsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimentoeffettivo dell'interessato (art. 82 comma 4)
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzidel trattamento, essi sono contitolari del trattamento. Essi determinano in modotrasparente, mediante un accordo interno, le rispettive responsabilità (art.26)
Responsabilità dei contitolari
RESPONSABILITÀ NEL GDPR
Responsabilità di titolare e responsabile
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità deltrattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà dellepersone fisiche il titolare mette in atto misure tecniche e organizzative adeguate pergarantire, ed essere in grado di dimostrare, che il trattamento è effettuatoconformemente alla legge (art.24)
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dalsuo trattamento che violi il presente regolamento.Un responsabile del trattamento risponde per il danno causato dal trattamento solo se nonha adempiuto gli obblighi del presente regolamento specificatamente diretti airesponsabili del trattamento o ha agito in modo difforme o contrario rispetto allelegittime istruzioni del titolare del trattamento (art.82, comma 2)
Responsabilità solidale dititolari e responsabili
8
L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento
Pisa, 22 Maggio 2018
• Pseudonimiz-zazione
• Cifratura
• assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi edei servizi che trattano i dati personali;
• ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso diincidente fisico o tecnico;
• Capacità di
per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche eorganizzative al fine di garantire la sicurezza del trattamento
• Procedura 29
il trattamento dei dati personali in modo tale che gli stessi non possano più essereattribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, acondizione che tali informazioni aggiuntive siano conservate separatamente esoggette a misure tecniche e organizzative intese a garantire che tali dati personalinon siano attribuiti a una persona fisica identificata o identificabile;
la cifratura è una modalità di conversione del testo originale in una sequenzaapparentemente casuale di lettere, numeri e segni speciali che solo la persona inpossesso della corretta chiave di decifratura potrà riconvertire nel file di testooriginale
Misure di sicurezza adeguate
La sicurezza: l’approccio risk – based
che comprendono, tra le altre, se del caso:
Pisa, 22 Maggio 2018
L’analisi del Rischio nel GDPRArt.25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:
• tenendo conto dello stato dell’arte e dei costi di attuazione, nonche ́della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, come anche dei rischi aventi probabilita ̀e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Pisa, 22 Maggio 2018
Altri adempimenti (o rischi?)
Art.5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono:
a) (…), b) (…), c) (…)
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita ̀per le quali sono trattati («esattezza»);
e) (…)
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrita ̀e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)
Art.34 – Comunicazione di una violazione (...) all’interessato
Pisa, 22 Maggio 2018
La sicurezza: l’approccio risk – based
•Dovrà essere predisposta unametodologia di analisi dei rischi ed unprocesso di privacy by design/default
Dovranno essere individuate adeguatecontromisure da adottare in funzione di tuttii parametri indicati nell’art. 32 (es.pseudonimizzazione) e nell’art.25 (es:minimizzazione)
•I sistemi dovranno essere predisposti pergestire il periodo di conservazione deidati, per gestire la richiesta di rettifica,cancellazione o limitazione, dopo iltermine stabilito
•Dovranno essere predisposte procedure diverifica periodica delle misure adottateper assicurarne l’efficacia.
IN PRATICA
MISURE DI SICUREZZA ADEGUATE
Pisa, 22 Maggio 2018
Cosa dovremmo essere in grado di dimostrare?
“Considerando” 74:(…) In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformita ̀delle attivita ̀di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, nonche ́del rischio per i diritti e le libertà delle persone fisiche.
Quali misure?
Quale/i trattamento/i?
Rispetto a quali rischi?
Pisa, 22 Maggio 2018
Cosa serve, quindi:• L’elenco delle applicazioni
• A supporto delle applicazioni «business» (es: Active Directory)• Di natura «trasversale» ai principali trattamenti (es: email)
• L’elenco delle infrastrutture ICT• Necessarie per sostenere i sistemi tramite i quali sono svolti i
trattamenti (es: infrastrutture di rete e sicurezza, ma anche sistemi di backup e recovery)
• Le «applicazioni» IT per l’IT che trattano dati personali• ad esempio le soluzioni di protezione, come sistemi proxy, SIEM etc..
• Ciascuno dei suddetti componenti IT deve essere riconducibile ai singoli trattamenti (del Registro, se previsto).
• La relazione tra componenti IT e Trattamenti deve essere documentata (accountability)
Pisa, 22 Maggio 2018
Cosa serve, quindi:
Per ogni componente IT, è necessario rilevare l’elenco delle misure implementate (assessment). Pertanto:
• Serve un elenco di misure di sicurezza• per minimizzare lo sforzo nella raccolta e garantire accuratezza e
completezza
• L’elenco deve essere personalizzato • per individuare tutti quelli previsti in azienda• non è utile misurare l’azienda sulla base di riferimenti a cui non si è
sicuramente conformi
• Le misure devono essere «pesate» in relazione al rischio
L’assessment deve essere documentato (accountability)
Pisa, 22 Maggio 2018
Cosa serve, quindi:
Tra le misure da verificare, non possono mancare i requisiti che le applicazioni devono osservare per essere conformi al regolamento, quali:
• Gestione della retention dei dati• Gestione del diritto di cancellazione (gestione delle richieste, self service, …)• Gestione delle rettifiche (gestione delle richieste, self service, …)• Strumenti atti ad assicurare la trasparenza dei dati• Strumenti per la portabilità, se prevista• Misure atte a verificare e valutare regolarmente l'efficacia delle misure tecniche • Misure a supporto delle attività di monitoraggio e gestione degli incidenti (es:
gestione dei log, error handling, …)• Misure atte ad assicurare la possibilità di mantenere aggiornati i sistemi, in
relazione alla scoperta di nuove vulnerabilità
Misure identificate dal Regolamento, quali la pseudonimizzazione, la cifratura etc…, sono censite se presenti e/o ritenute idonee in relazione ai rischi
Pisa, 22 Maggio 2018
Cosa dovremmo essere in grado di dimostrare?
“Considerando” 74:(…) In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformita ̀delle attivita ̀di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, nonche ́del rischio per i diritti e le libertà delle persone fisiche.
Quali misure?
Quale/i trattamento/i?
Rispetto a quali rischi?
Pisa, 22 Maggio 2018
Rischio o Rischi?
• Il Regolamento parla di rischi sui trattamenti, non sulle applicazioni
• L’impatto (massimo) è intrinsecamente legato al trattamento (es: sulla base delle informazioni gestite)
• La probabilità dipende dalle modalità con le quali questo si attua, pertanto sugli strumenti informatici, sulle aree ed i locali, sui processi e procedure, sull’organizzazione
Rischitrattamento = Impattotrattamentox Probabilitàminacce_app1
Probabilitàminacce_appN
Probabilitàminacce_sicurezza_fisica
Probabilitàminaccce_servizio_fornitori1
Probabilitàminacce_processo_business1
Probabilitàminaccce_servizio_fornitoriN
Probabilitàminacce_processo_businessN
Rischioapp1RischioappNRischiosic_fis.Rischioforn.1
Rischioforn.N
Rischioproc.1
Rischioproc.NRischio Elevato Rischio Medio Rischio BassoLegenda:
Anche la componente di impatto può essere distribuita in relazione alle modalità di trattamento, sebbene l’uso dell’impatto massimo costituisce un approccio cautelativo e pertanto accettabile
Pisa, 22 Maggio 2018
Efficacia delle misure
Rischitrattamento
Misureminacce_app1
Misureminacce_appN
Misureminacce_sicurezza_fisica
Misureminaccce_servizio_fornitori1
Misureminacce_processo_business1
Misureminaccce_servizio_fornitoriN
Misureminacce_processo_businessN
Misure censite precedentemente, anche in ambiti non IT
Rischio_residuoapp1
Rischio_residuoappN
Rischio_residuosic_fis.
Rischio_residuoforn.1
Rischio_residuoforn.N
Rischio_residuoproc.1
Rischio_residuoproc.N
Rischioapp1
RischioappN
Rischiosic_fis.
Rischioforn.1
Rischioforn.N
Rischioproc.1
Rischioproc.N
Rischio Elevato Rischio Medio Rischio BassoLegenda:
Pisa, 22 Maggio 2018
Criterio di adeguatezza
Rischitrattamento
Misureapp1
MisureappN
Misureservizio_fornitori1
Rischio_residuoapp1
Rischio_residuoappN
Rischio_residuoforn.1
Rischioapp1
RischioappN
Rischioforn.1
Rischio Elevato Rischio Medio Rischio BassoLegenda:
Misure Implementate
Grado di efficacia delle misure, idoneo a mitigare le
minacce applicabili
Rischio sempre mitigato
(rischio residuo sempre «basso»)
Ad esempio:
Misure insufficienti
Misure idonee
Misure insufficienti
Nella gestione dei rischi «per l’interessato», il Titolare non può prevedere, tra le opzioni di trattamento, la cosiddetta «assunzione di rischio», in quanto violerebbe i suoi precisi obblighi ex art.24
Pisa, 22 Maggio 2018
Il criterio di adeguatezza21
• Deve essere definito «ex ante» e perseguito senza eccezioni (no assunzione di rischio)
• Deve essere oggettivo, «scientifico», in quanto deve essere dimostrabile (accountability)
• Deve essere dimostrato: l’adeguatezza varia con il variare delle minacce, ed in relazione al modo con cui le stesse si verificano presso l’azienda
• Possibili soluzioni:• Basarsi su metodologie e standard internazionali per l’analisi del rischio;• Utilizzare approcci conservativi nella valutazione di probabilità e impatti• La probabilità dovrebbe essere valutata sulla base di riferimenti interni ed esterni
(autorevoli), adeguatamente censiti• Ogni valutazione deve essere motivata, a meno che non si basi su regole generali
definite a priori (es: impatto «almeno medio» in caso di trattamento di dati particolari)
• Ricordare che:• Non sono adeguati i trattamenti che non sono conformi al Regolamento (base giuridica,
finalità, …) o che non prevedono l’implementazione di misure «obbligatorie» (es: esercizio dei diritti degli interessati), anche quando il rischio è mitigato
Pisa, 22 Maggio 2018
Il criterio di adeguatezza
• Possibile approccio (1):• Basato sulla valutazione dell’effetto delle misure nel contrasto delle
minacce: in tal caso, è sufficiente fissare un obiettivo di rischio sufficientemente basso da garantire un livello di protezione adeguato:
Pisa, 22 Maggio 2018
Il criterio di adeguatezza
• Possibile approccio (2):• Basato sulla relazione rischio (potenziale) misure idonee, laddove
le misure siano definite ex-ante, in relazione al contesto, alle minacce ad esso afferenti, assicurando una completa copertura delle stesse:
• Necessita di riferimenti autorevoli per stabilire il grado di efficacia delle misure e la completezza delle stesse nel mitigare tutte le minacce afferenti il contesto
Minaccecontesto Livelli Rischio
Potenziale
Misure Sicurezzaefficacia elevata
Misure Sicurezzamedia efficacia
Misure Sicurezzabassa efficacia
Criteri di mitigazione
Pisa, 22 Maggio 2018
(principali) Punti di riferimento
• ISO/IEC 27001• ISO/IEC 27002• ISO/IEC 27005• Linee Guida WP 248 17/EN • Linee Guida WP250• Tool e linee guida CNIL• Enisa handbook:
Pisa, 22 Maggio 2018
Piani di Trattamento
• In entrambi gli approcci, disporre di un elenco di misure di sicurezza predefinito, a differenti livelli di efficacia, costituisce uno strumento essenziale per:
• indirizzare tutte le misure necessarie per mitigare le minacce afferenti i trattamenti;
• verificare l’efficacia, mantenere ed evolvere le misure ritenute necessarie;
• indirizzare in modo adeguato gli interventi di mitigazione: Misureapp1 Rischio_residuoapp1Rischioapp1
Rischio Elevato Rischio Medio Rischio BassoLegenda:
Misure insufficienti
Piano di Trattamento
= Misure Sicurezzaefficacia elevata - Misureapp1
Pisa, 22 Maggio 2018
E quindi:
• Assicurare le conformità, secondo un processo basato sull’attuazione delle misure previste per la sicurezza del trattamento (art.32) significa:
• Definire un Elenco di misure di sicurezza per i trattamenti, nello specifico per i componenti IT, inclusivo degli adempimenti obbligatori nel perimetro del sistema informativo
• Classificare, in relazione alle possibili minacce, le misure di sicurezza sulla base grado di efficacia idoneo a mitigarle
• Identificare, ponendoli in relazione con i singoli trattamenti, tutti i componenti IT che li supportano
• Censire, per ogni componente IT, le misure di sicurezza a partire dall’Elenco precedentemente definito
• Valutare il rischio per i componenti IT, in relazione ai trattamenti ed alle minacce afferenti
• Applicare il criterio di adeguatezza, per verificare che la componente IT del rischio sia adeguatamente mitigata
• Definire, se necessario, un piano di trattamento per ogni componente IT
• Mappare tutte le informazioni generate (componenti IT, misure implementate, livelli di rischio, piani di trattamento) con gli specifici trattamenti, nell’ambito del Registro, se previsto
Pisa, 22 Maggio 2018
Nota bene:
• Alcuni aspetti trattati sono stati oggetto di semplificazione:
• Un componente IT può «ereditare» l’impatto da più trattamenti: in questo caso, si applicherà il criterio dei massimi o altri algoritmi di aggregazione
• Non è necessariamente vero che ogni rischio di tipo diverso debba essere mitigato in modo idoneo esclusivamente e in modo completo nel proprio ambito. Ad esempio, vi sono minacce in ambito IT che possono essere mitigate con misure di processo a livello di business, pertanto è possibile che un rischio più elevato in ambito IT possa essere ritenuto accettabile in presenza di misure «compensative» di business
• La documentazione prodotta dal Titolare deve comprendere le informazioni generate per la mitigazione di ciascuna tipologia di rischio (come da regolamento, misure «organizzative e tecniche»)
Pisa, 22 Maggio 2018
Il 26 maggio, quando il sole sorgerà, il Titolare sa che dovrà incominciare a correre. Anche il Responsabile.
Non importa che tu sia Titolare o Responsabile, l’importante è che tu corra!
Luca Bechelli Information & Cyber Security AdvisorP4I - Gruppo [email protected]
Direttivo e Comitato Tecnico Scientifico [email protected]