la sicurezza dei trattamenti a norma del … 22 maggio 2018 - tutte le seguenti slide faranno...

Pisa, 22 Maggio 2018

La sicurezza dei trattamenti a norma del regolamento UE 2016/679

Cosa resta da fare?Luca Bechelli Information & Cyber Security AdvisorP4I - Gruppo [email protected]

Direttivo e Comitato Tecnico Scientifico [email protected]


- Tutte le seguenti slide faranno riferimento al perimetro del mondo IT

- La verifica della conformità al GDPR è infatti l’insieme di numerosi adempimenti, solo una parte dei quali attribuibili al solo perimetro dell’area Sistemi Informativi di un’azienda

- In questa sessione ci concentreremo sul perimetro IT, per le peculiarità e la numerosità di adempimenti che devono essere soddisfatti

Disclaimer


3giorni

DOVE SIAMO OGGI…


NOVITA’ DEL REGOLAMENTO- Accountability del titolare- Privacy by design - Registro dei trattamenti- Valutazione dei rischi- Adozione di misure tecniche e organizzative adeguate- Data breach- Certificazione dei trattamenti- Valutazione d’impatto- Durata del trattamento- Data Protection Officer (DPO)- Responsabilità solidale di titolare e responsabile- Entità delle sanzioni

L’approccio innovativo basato sull’accountability del Titolare e le principali novità del Regolamento



Le definizioni ed i principi generali previsti dal Codice Privacy restanosostanzialmente invariati, ma cambia la filosofia

Nuovo approccio metodologico, risk-based, basato sulla protezione dei dati dell’utente e sull’effettivo rischio per ogni azienda

La «privacy» deve essere calata all’interno dei processi e dell’organizzazione aziendale, come presupposto da considerare già nella fase di progettazione dei processi, servizi, prodotti o applicativi (cfr. «privacy by design»).

Da un sistema di tipo formalistico ad un sistema di Governance dei Dati Personali basato su un’alta responsabilizzazione sostanziale («accountability») del Titolare, a cui è richiesto proattività, cioè di prevenire e non correggere, nonché di dimostrare, tramite l’elaborazione di un idoneo sistema documentale di gestione della privacy e di appropriate policy interne, da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.


Tenuto conto di NATURA, AMBITO, CONTESTO, FINALITA’, RISCHI

Misure TECNICHE ed ORGANIZZATIVE ADEGUATE per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Dette misure sono riesaminate ed aggiornate qualora necessario.

Il TITOLARE è responsabile per la compliance ai principi privacy e deve essere in grado di DIMOSTRARLA (art. 4, co.2)

Ciò implica l’adozione di un SISTEMA DI GESTIONE DELLA DATA PROTECTION che consenta di gestire nel tempo la compliance

Mette in atto

Focus su ACCOUNTABILITY (art. 4, co.2 e 24)



Considerare la privacy sin dalla fase di progettazione

Formalizzare la documentazione di adeguamento ai singoli obblighi normativi

Attribuire ruoli e responsabilità in materia di data protection (organigramma privacy interno), coerentemente alle mansioni azienda

Prevedere regolamenti e procedureper la gestione della data protection

Implementare adeguate politiche di informazione aziendale e meccanismi di controllo interno per verificare l’applicazione delle misure e

Monitorare le misure ed aggiornale se necessario

Predisporre un SISTEMA DI GESTIONE DELLA DATA PROTECTION



Responsabilità del titolare (Accountability)

Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi iltitolare del trattamento e il responsabile del trattamento siano coinvolti nello stessotrattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causatodal trattamento, ogni titolare del trattamento o responsabile del trattamento èresponsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimentoeffettivo dell'interessato (art. 82 comma 4)

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzidel trattamento, essi sono contitolari del trattamento. Essi determinano in modotrasparente, mediante un accordo interno, le rispettive responsabilità (art.26)

Responsabilità dei contitolari

RESPONSABILITÀ NEL GDPR

Responsabilità di titolare e responsabile

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità deltrattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà dellepersone fisiche il titolare mette in atto misure tecniche e organizzative adeguate pergarantire, ed essere in grado di dimostrare, che il trattamento è effettuatoconformemente alla legge (art.24)

Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dalsuo trattamento che violi il presente regolamento.Un responsabile del trattamento risponde per il danno causato dal trattamento solo se nonha adempiuto gli obblighi del presente regolamento specificatamente diretti airesponsabili del trattamento o ha agito in modo difforme o contrario rispetto allelegittime istruzioni del titolare del trattamento (art.82, comma 2)

Responsabilità solidale dititolari e responsabili

8



• Pseudonimiz-zazione

• Cifratura

• assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi edei servizi che trattano i dati personali;

• ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso diincidente fisico o tecnico;

• Capacità di

per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche eorganizzative al fine di garantire la sicurezza del trattamento

• Procedura 29

il trattamento dei dati personali in modo tale che gli stessi non possano più essereattribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, acondizione che tali informazioni aggiuntive siano conservate separatamente esoggette a misure tecniche e organizzative intese a garantire che tali dati personalinon siano attribuiti a una persona fisica identificata o identificabile;

la cifratura è una modalità di conversione del testo originale in una sequenzaapparentemente casuale di lettere, numeri e segni speciali che solo la persona inpossesso della corretta chiave di decifratura potrà riconvertire nel file di testooriginale

Misure di sicurezza adeguate

La sicurezza: l’approccio risk – based

che comprendono, tra le altre, se del caso:


L’analisi del Rischio nel GDPRArt.25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

• tenendo conto dello stato dell’arte e dei costi di attuazione, nonche ́della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, come anche dei rischi aventi probabilita ̀e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.


Altri adempimenti (o rischi?)

Art.5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono:

a) (…), b) (…), c) (…)

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita ̀per le quali sono trattati («esattezza»);

e) (…)

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrita ̀e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)

Art.34 – Comunicazione di una violazione (...) all’interessato


La sicurezza: l’approccio risk – based

•Dovrà essere predisposta unametodologia di analisi dei rischi ed unprocesso di privacy by design/default

Dovranno essere individuate adeguatecontromisure da adottare in funzione di tuttii parametri indicati nell’art. 32 (es.pseudonimizzazione) e nell’art.25 (es:minimizzazione)

•I sistemi dovranno essere predisposti pergestire il periodo di conservazione deidati, per gestire la richiesta di rettifica,cancellazione o limitazione, dopo iltermine stabilito

•Dovranno essere predisposte procedure diverifica periodica delle misure adottateper assicurarne l’efficacia.

IN PRATICA

MISURE DI SICUREZZA ADEGUATE


Cosa dovremmo essere in grado di dimostrare?

“Considerando” 74:(…) In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformita ̀delle attivita ̀di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, nonche ́del rischio per i diritti e le libertà delle persone fisiche.

Quali misure?

Quale/i trattamento/i?

Rispetto a quali rischi?


Cosa serve, quindi:• L’elenco delle applicazioni

• A supporto delle applicazioni «business» (es: Active Directory)• Di natura «trasversale» ai principali trattamenti (es: email)

• L’elenco delle infrastrutture ICT• Necessarie per sostenere i sistemi tramite i quali sono svolti i

trattamenti (es: infrastrutture di rete e sicurezza, ma anche sistemi di backup e recovery)

• Le «applicazioni» IT per l’IT che trattano dati personali• ad esempio le soluzioni di protezione, come sistemi proxy, SIEM etc..

• Ciascuno dei suddetti componenti IT deve essere riconducibile ai singoli trattamenti (del Registro, se previsto).

• La relazione tra componenti IT e Trattamenti deve essere documentata (accountability)


Cosa serve, quindi:

Per ogni componente IT, è necessario rilevare l’elenco delle misure implementate (assessment). Pertanto:

• Serve un elenco di misure di sicurezza• per minimizzare lo sforzo nella raccolta e garantire accuratezza e

completezza

• L’elenco deve essere personalizzato • per individuare tutti quelli previsti in azienda• non è utile misurare l’azienda sulla base di riferimenti a cui non si è

sicuramente conformi

• Le misure devono essere «pesate» in relazione al rischio

L’assessment deve essere documentato (accountability)


Cosa serve, quindi:

Tra le misure da verificare, non possono mancare i requisiti che le applicazioni devono osservare per essere conformi al regolamento, quali:

• Gestione della retention dei dati• Gestione del diritto di cancellazione (gestione delle richieste, self service, …)• Gestione delle rettifiche (gestione delle richieste, self service, …)• Strumenti atti ad assicurare la trasparenza dei dati• Strumenti per la portabilità, se prevista• Misure atte a verificare e valutare regolarmente l'efficacia delle misure tecniche • Misure a supporto delle attività di monitoraggio e gestione degli incidenti (es:

gestione dei log, error handling, …)• Misure atte ad assicurare la possibilità di mantenere aggiornati i sistemi, in

relazione alla scoperta di nuove vulnerabilità

Misure identificate dal Regolamento, quali la pseudonimizzazione, la cifratura etc…, sono censite se presenti e/o ritenute idonee in relazione ai rischi


Cosa dovremmo essere in grado di dimostrare?

“Considerando” 74:(…) In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformita ̀delle attivita ̀di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalita ̀del trattamento, nonche ́del rischio per i diritti e le libertà delle persone fisiche.

Quali misure?

Quale/i trattamento/i?

Rispetto a quali rischi?


Rischio o Rischi?

• Il Regolamento parla di rischi sui trattamenti, non sulle applicazioni

• L’impatto (massimo) è intrinsecamente legato al trattamento (es: sulla base delle informazioni gestite)

• La probabilità dipende dalle modalità con le quali questo si attua, pertanto sugli strumenti informatici, sulle aree ed i locali, sui processi e procedure, sull’organizzazione

Rischitrattamento = Impattotrattamentox Probabilitàminacce_app1

Probabilitàminacce_appN

Probabilitàminacce_sicurezza_fisica

Probabilitàminaccce_servizio_fornitori1

Probabilitàminacce_processo_business1

Probabilitàminaccce_servizio_fornitoriN

Probabilitàminacce_processo_businessN

Rischioapp1RischioappNRischiosic_fis.Rischioforn.1

Rischioforn.N

Rischioproc.1

Rischioproc.NRischio Elevato Rischio Medio Rischio BassoLegenda:

Anche la componente di impatto può essere distribuita in relazione alle modalità di trattamento, sebbene l’uso dell’impatto massimo costituisce un approccio cautelativo e pertanto accettabile


Efficacia delle misure

Rischitrattamento

Misureminacce_app1

Misureminacce_appN

Misureminacce_sicurezza_fisica

Misureminaccce_servizio_fornitori1

Misureminacce_processo_business1

Misureminaccce_servizio_fornitoriN

Misureminacce_processo_businessN

Misure censite precedentemente, anche in ambiti non IT

Rischio_residuoapp1

Rischio_residuoappN

Rischio_residuosic_fis.

Rischio_residuoforn.1

Rischio_residuoforn.N

Rischio_residuoproc.1

Rischio_residuoproc.N

Rischioapp1

RischioappN

Rischiosic_fis.

Rischioforn.1

Rischioforn.N

Rischioproc.1

Rischioproc.N

Rischio Elevato Rischio Medio Rischio BassoLegenda:


Criterio di adeguatezza

Rischitrattamento

Misureapp1

MisureappN

Misureservizio_fornitori1

Rischio_residuoapp1

Rischio_residuoappN

Rischio_residuoforn.1

Rischioapp1

RischioappN

Rischioforn.1


Misure Implementate

Grado di efficacia delle misure, idoneo a mitigare le

minacce applicabili

Rischio sempre mitigato

(rischio residuo sempre «basso»)

Ad esempio:

Misure insufficienti

Misure idonee


Nella gestione dei rischi «per l’interessato», il Titolare non può prevedere, tra le opzioni di trattamento, la cosiddetta «assunzione di rischio», in quanto violerebbe i suoi precisi obblighi ex art.24


Il criterio di adeguatezza21

• Deve essere definito «ex ante» e perseguito senza eccezioni (no assunzione di rischio)

• Deve essere oggettivo, «scientifico», in quanto deve essere dimostrabile (accountability)

• Deve essere dimostrato: l’adeguatezza varia con il variare delle minacce, ed in relazione al modo con cui le stesse si verificano presso l’azienda

• Possibili soluzioni:• Basarsi su metodologie e standard internazionali per l’analisi del rischio;• Utilizzare approcci conservativi nella valutazione di probabilità e impatti• La probabilità dovrebbe essere valutata sulla base di riferimenti interni ed esterni

(autorevoli), adeguatamente censiti• Ogni valutazione deve essere motivata, a meno che non si basi su regole generali

definite a priori (es: impatto «almeno medio» in caso di trattamento di dati particolari)

• Ricordare che:• Non sono adeguati i trattamenti che non sono conformi al Regolamento (base giuridica,

finalità, …) o che non prevedono l’implementazione di misure «obbligatorie» (es: esercizio dei diritti degli interessati), anche quando il rischio è mitigato


Il criterio di adeguatezza

• Possibile approccio (1):• Basato sulla valutazione dell’effetto delle misure nel contrasto delle

minacce: in tal caso, è sufficiente fissare un obiettivo di rischio sufficientemente basso da garantire un livello di protezione adeguato:


Il criterio di adeguatezza

• Possibile approccio (2):• Basato sulla relazione rischio (potenziale) misure idonee, laddove

le misure siano definite ex-ante, in relazione al contesto, alle minacce ad esso afferenti, assicurando una completa copertura delle stesse:

• Necessita di riferimenti autorevoli per stabilire il grado di efficacia delle misure e la completezza delle stesse nel mitigare tutte le minacce afferenti il contesto

Minaccecontesto Livelli Rischio

Potenziale

Misure Sicurezzaefficacia elevata

Misure Sicurezzamedia efficacia

Misure Sicurezzabassa efficacia

Criteri di mitigazione


(principali) Punti di riferimento

• ISO/IEC 27001• ISO/IEC 27002• ISO/IEC 27005• Linee Guida WP 248 17/EN • Linee Guida WP250• Tool e linee guida CNIL• Enisa handbook:


Piani di Trattamento

• In entrambi gli approcci, disporre di un elenco di misure di sicurezza predefinito, a differenti livelli di efficacia, costituisce uno strumento essenziale per:

• indirizzare tutte le misure necessarie per mitigare le minacce afferenti i trattamenti;

• verificare l’efficacia, mantenere ed evolvere le misure ritenute necessarie;

• indirizzare in modo adeguato gli interventi di mitigazione: Misureapp1 Rischio_residuoapp1Rischioapp1



Piano di Trattamento

= Misure Sicurezzaefficacia elevata - Misureapp1


E quindi:

• Assicurare le conformità, secondo un processo basato sull’attuazione delle misure previste per la sicurezza del trattamento (art.32) significa:

• Definire un Elenco di misure di sicurezza per i trattamenti, nello specifico per i componenti IT, inclusivo degli adempimenti obbligatori nel perimetro del sistema informativo

• Classificare, in relazione alle possibili minacce, le misure di sicurezza sulla base grado di efficacia idoneo a mitigarle

• Identificare, ponendoli in relazione con i singoli trattamenti, tutti i componenti IT che li supportano

• Censire, per ogni componente IT, le misure di sicurezza a partire dall’Elenco precedentemente definito

• Valutare il rischio per i componenti IT, in relazione ai trattamenti ed alle minacce afferenti

• Applicare il criterio di adeguatezza, per verificare che la componente IT del rischio sia adeguatamente mitigata

• Definire, se necessario, un piano di trattamento per ogni componente IT

• Mappare tutte le informazioni generate (componenti IT, misure implementate, livelli di rischio, piani di trattamento) con gli specifici trattamenti, nell’ambito del Registro, se previsto


Nota bene:

• Alcuni aspetti trattati sono stati oggetto di semplificazione:

• Un componente IT può «ereditare» l’impatto da più trattamenti: in questo caso, si applicherà il criterio dei massimi o altri algoritmi di aggregazione

• Non è necessariamente vero che ogni rischio di tipo diverso debba essere mitigato in modo idoneo esclusivamente e in modo completo nel proprio ambito. Ad esempio, vi sono minacce in ambito IT che possono essere mitigate con misure di processo a livello di business, pertanto è possibile che un rischio più elevato in ambito IT possa essere ritenuto accettabile in presenza di misure «compensative» di business

• La documentazione prodotta dal Titolare deve comprendere le informazioni generate per la mitigazione di ciascuna tipologia di rischio (come da regolamento, misure «organizzative e tecniche»)


Il 26 maggio, quando il sole sorgerà, il Titolare sa che dovrà incominciare a correre. Anche il Responsabile.

Non importa che tu sia Titolare o Responsabile, l’importante è che tu corra!

Luca Bechelli Information & Cyber Security AdvisorP4I - Gruppo [email protected]

Direttivo e Comitato Tecnico Scientifico [email protected]

la sicurezza dei trattamenti a norma del … 22 maggio 2018 - tutte le seguenti slide faranno...

Documents