Che lo vogliate o no… E’ arrivato il GDPR! (Parte 1)

Allora ci siamo.

Dal 14 Aprile 2016 finalmente è stato ratificato il nuovo Regolamento Europeo sul Data Protection (GDPR). E’ stata cosi laboriosa la gestazione e cosi estenuante il travaglio di parto che mi viene alla mente il Big One californiano. Il presunto mare e terremoto che tutti hanno aspettato dall’inizio del secolo dopo quello del 1906 e che non si è mai verificato ma tutti sanno che accadrà e affosserà nella crosta terrestre la California.
In effetti quello del 1989 non è stato una cosa da poco … ma torniamo a noi

PrivacyInCloud
Sono passati diversi decenni dalla Direttiva Europea del 1995; da lì in poi la Legge 675, il DM 318 del 1999 e infine il Dlg.vo 196/2003. In ognuno di questi passi si è cercato di normare seguendo le esigenze e le stringenze della evoluzione tecnologica.

Si è passati dall’era dei fax a 200dpi al Cloud Computing nell’era del BigData degli IoT e della CyberSecurity. In 20 anni quello che nella fisica è successo in un secolo passando da quella newtoniana a quella quantistica, dal pezzo di ferro agli ologrammi, dal mezzo trasmissivo di rame a wi-fi/GPS, dal codice su scheda perforata alle Apps che girano nello smatphone senza che neppure se ne abbia consapevolezza.

Eppure, nonostante questo salto dimensionale e funzionale globale, in fondo i principi ispiratori della Carta di Nizza, da cui la prima direttiva era derivata, sono gli stessi che troviamo oggi in questo nuovo GDPR.

In questo primo articolo riassumo schematicamente soltanto in modo preliminare, alcuni elementi rilevanti e dirompenti; come sempre è stato per le rubriche da noi curate, i contenuti di ogni singola tematica saranno approfonditi e aggiornati con gli specifici pubblicazioni. Non è concepibile esaurire le molte problematiche dell’esteso articolato della Riforma. Interi seminari e copiose pubblicazioni sarebbero necessari anche solo per uno dei molti argomenti influenzati dal GDPR; si pensi al mondo della Sanità e del fascicolo elettronico, alla Identificazione Univoca Digitale, al Data Retention, l’universo del Cyberspace e le veicolazioni di transazioni IoT, BlueTooth, WI-FI e i BYOD promiscui.

L’ordine con il quale commento non è da interpretare secondo priorità. Non esiste infatti un aspetto più critico di altri perchè non esiste un criterio unico per la miriade di attività produttive e di servizi che dovranno adeguarsi. Sia che abbiamo già un ottimo Sistema Privacy sia che comincino dalle fondamenta rischivendone uno isperato alla privacy By Default e By Design.

Ogni azienda ha una proprio situazione ICT, un campo di applicazione e una tipologia di trattamento dati diversa da qualunque altra. E’ la combinazione di molte variabili di impresa che determinerà il Sistema Data Protection Aziendale (SDPA), e la prima considerazione che ne discende è che non esiste un ciclostile per il Manuale del sistema di Data Protection (MDP); ma le persone serie sanno che anche prima con il Dlg.196/03 questo era vero.

REGOLAMENTO NON DIRETTIVA
Prima di tutto invito a riflettere che si tratta di un Regolamento e non di una Direttiva!
La più banale delle considerazioni di questo pertiene la sua applicabilità. In effetti le direttive sono nate con la Comunità Europea quando ancora il Parlamento e il Consiglio avevano compiti settoriali distinti.
La direttiva aveva tipicamente due anni di aspettativa prima di essere recepita dai paesi membri. Con ciò si intende che poi le singole legislazioni locali, intraprendevano un percorso legiferativo, ognuna con i propri iter parlamentari e tempi attuativi.

Il Regolamento è valido in tutti gli stati membri subito, nello stesso modo e allo stesso tempo. Semplicemente, sono previsti due anni dalla ratifica perchè diventino cogenti le sue prescrizioni; in sintesi, a fronte di controlli delle autorità e/o controversie legate agli adempimenti non conformi, si è esposti al sistema sanzionatorio.

UNIFICAZIONE E SOSTANZIALITA’
Essenzialmente il GDPR univica il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC). Questa messa a fattor comune di due ambiti intimamente correlati e mutuamente dipendenti è in realtà una cosa antica e ha vissuto negli ultimi due anni nella miriade di provvedimenti da parte della Autorità Garante, da Rodotà, Pizzetti e attualmente Soro, che ha sempre cercato di contenere l’enorma disattenzione e sprovvedutezza tipicamente italiane delle aziende tenute alla conformità e dei potenziali “interessati”, coloro che dovrebbero beneficiare della protezione dei dati personali.

Il termine Privacy non è più elettivo e si è diluito nella più grande accezione del termine Data Protection. In effetti la protezione è un concetto che implica Sicurezza (fisica, logica e di gestione), Confidenzialità, Continuità, Diritto all’Accesso, anti-contraffazione, non repudiabilità, Identificazione Digitale Univoca, Disponibilità, tutela dal furto di identità,

iftOgnuno di questi elementi è una disciplina per il quale sono scritti e saranno scritti volumi interi quindi il GDPR ha comportato uno sforzo enorme di armonizzazione e unificazione normativa, prescrittiva e multidisciplinare. Accanto a questo non ignoriamo la lunga attesa dovuta anche alle attività degli interessi lobbistici ma ne scrivo altrove.

Una seconda parola chiave è la Compliance che è collegabile a due standard internazionali ISO 19600 (l’approccio sistemico alle “obligation”) e la ultima ISO 9001 che comporta  il coinvolgimento degli stakeholder (il Regolamento è parte degli interessi) e l’analisi dei rischi (requisito innovativo del nuovo Regolamento formalizzato come modello di risk assessment e management assimilabile alla famiglia delle ISO 3100x).

Per l’ambito giuridico i cambiamenti sono molto evidenti, l’indirizzo è quello di una  responsabilità che coinvolge sempre di più l’organizzazione come soggetto (approccio della responsabilità “penale” dell’impresa presente stabilmente dal 2001 con il Dlg.231/01. L’ OdV (organismo di vigilanza) implicito nelle prescrizioni legali, recependo una logica della applicazione delle buone pratiche e quelle di riferimento ISO27001 e la BS 10012, dovrebbe altrettando implicitamente annoverare al suo interno la fidura del DPO introdotto dal GDPR (vedi avanti “La finta questione de DPO”).

THE VERY FIRST GLIMPSE
Il titolo di quest paragrafo è provocatoriamente in inglese, perchè si allude al fatto che già dalle prime traduzioni del testo GDPR originale (peraltro il primo in assoluto è in francese), si è avuta la sensazione che alcune porzioni, soprattutto quelle di carattere prescrittorio e legale, avressero quello che internazionalmente è noto come “missing in translation” e che qui in Italia chiamiamo “discrasia”. Detto in termini estremamente riassuntivi, ci sono alcuni articoli che per essere bene interpretati e attesi, è meglio siano studiati dall’inglese. Peraltro, in molti dei 28 paesi della UE, si adotta direttamente il testo della versione inglese (n.d.r.).

Globalmente considerata l’intera “faccenda” è diventata molto meno formale e più sostanziale! Con ciò si intende che sono finiti per sempre i tempi della Privacy comprata a chili di carta. Ispirata alle normazioni contrattuali volontarie, ISO e BSI per citare quelle internazionali storiche, il GDPR deve essere atteso, attuato e dimostrabile con fatti e non solamente qualche foglio di carta.

Quando il GAT (nucleo speciale della GdF) effettuasse una ispezione, ovvero in sede di controversia (denuncia di terzi alla Autorità), non è più sufficiente mostrare una generica informativa, qualche foglio firmato dai dipendenti e un presunto manuale di 10 pagine che ricorda più ad una Carta di Servizi nella home di un sito di una clinica privata.
Si dovrà avere una chiara distribuzione delle nomine e delle designazioni dei ruoli del SDPA, un credibile e pertinente documento di valutazione dei Rischi e degli Impatti (cosidetto Privacy Impact Analisys, PIA), Piano di informazione e formazione attuato, provabile e aggiornato, una politica di qualificazione delle forniture ICT a mezzo di SLA e PLA, un piano di Audit effettivo e comprovabile da terzi, se adottata la strutturazione e l’inquadramento di un Data Protection Officer (DPO), il Disciplinare interno con eventuali certificazioni del Data Center on Premise (ISO20000 per i servizi e ISO27001 per la sicurezza della infrastruttura dei Sistemi Informativi). Naturalmente citiamo a braccio, ma la lista sopra non è esaustiva!

 

NOTIFICAZIONE NO, ANZI SI
E’ vero ! Non esite più la prima Notificazione presso il Registro del Garante a Piazza Monte Citorio. Tuttavia, forse un onere più impegnativo, è previsto che una azienda si doti di un impianto strutturale (sia formale, che procedurale) per far fronte alla tempestiva Notificazione del cosidetto Data Breach.

In definitiva, la Notificazione storica è solo sostituita da quella per la Sicurezza Informatica e Telematica. In sintesi, le società devono dotarsi di un sistema di gestione delle evenienze avverse di danni informatici. Non tanto e solamente per prevenirli, quanto nella escalation di valutazione di un indicente informatico del quale devono entro una settimana avvisare l’Autorità di riferimento e tutti gli Interessati i cui dati sono stati (anche solo presumibilmente) coinvolti nell’incidente. Vediamo meglio nel caso parliamo di operatori del settore delle comunicazioni elettroniche e successivamente presente in diversi provvedimenti specifici riguardanti per esempio la biometria, la condivisione di banche dati particolarmente ampie tra soggetti pubblici, le tutele dei dati sanitari contenuti nel dossier sanitario elettronico.

Nel Regolamento Art. 32 Bis, si adotta il concetto di adempimenti conseguenti ad una violazione di dati personali che coinvolge in modo diretto anche i fornitori di servizi di comunicazione elettronica accessibili al pubblico; tutti hanno l’obbligo della comunicazione all’Autorità Garante di eventuali violazioni di dati personali da essi conservati. Laddove esista poi il pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, questi dovranno essere avvisati dell’avvenuta violazione anche se solo per pregiudiziale nocumento.  Il “Provvedimento in materia di attuazione della disciplina sulla
comunicazione delle violazioni di dati personali” già indica :
a) un termine di 24 ore per fornire all’Autorità le prime sommarie informazioni con la possibilità di estendere a ulteriori 3 giorni l’integrazione di eventuali notizie utili;
b) l’istituzione di un registro in cui annotare le violazioni;
c) le modalità di compilazione del modulo di notifica formato da ben 17 punti.

Quindi  già dal 2015 anche le pubbliche amministrazioni che detengono banche dati di  grandi dimensioni a cui possono legittimamente accedere plurimi soggetti pubblici, devono comunicare al Garante, nelle 48 ore dalla conoscenza del fatto, le violazioni occorse ai dati  personali detenuti e gli incidenti informatici. Tutti gli altri hanno 72 ore.

TUTTO SCHIACCIATO E SEMPLIFICATO, FORSE…
Una delle parole chiave molto di moda non solo per la Privacy, ma anche per molti altri ambiti legislativi parlamentari è quella della “Semplificazione”. In effetti anche per il nuovo Regolamento, alcune semplificazioni possono essere identificate… Attenzione però, che non necessariamente una semplificazione rende più “semplice” l’attendere gli adempimenti. Ciò che sicuramente si è semplificato è lo stile di emanazione degli articolati che secondo la tendenza internazionale, mira non tanto alla legiferazioni dettagliate di “cosa” si può e di “come” si deve fare riferendosi a tabelle prescrittive definite; piuttosto, cosi come accade con le linee guida (Guide Lines), le norme di buona operatività (good practisies) e le pratiche dovute (due diligence) indicano le direttive di condotta e i criteri da soddisfare per conformarsi ai requisiti di legge e agli adempimenti sul campo.

Uno tra i molti aspetti precocemente riscontrabile di questa filosofia riguarda la semplificazione della gestione delle nomine e delle deleghe dei soggetti e dei ruoli all’interno di un SDPA. In un certo senso ci si emancipa verso una semplificazione della articolata gerarchia fatta di Titolari del Trattamento, Responsabili del trattamento (esterni nel caso di fornitori), gestori delle chiavi, amministratori di sistema (interni o esterni), operatori del trattamento verso due fondamentali soggetti : Data Controllers e Data Processors.etica
Non conviene pensare di tradurli, tanto nel manuale del SDP converrà citarli cosi anche inconsiderazione della internazionalizzazione delle procedure (vedi più avanti “Dove vanno i dati transfrontalieri ma soprattutto da dove vengono“)

Altra cosa che non conviene interpretare è che sia tutto quì. A parte il caso del DPO di cui parliamo dopo, comunque occorreranno gli Amministratori di Sistema come figure se stanti, ma, nel caso di una terzializzazione di servizi ICT (Es. Cloud SaaS, PaaS, Sec-aaS, Storage-aaS ecc.) diventano Joint-Controllers (precedenti co-titolari). Peraltro, un corretto inquadramento negoziale dell’istituto del Joint Controller
rispetto ai trattamenti condivisi, se non vissuto solamente come prescrizione legale per i gruppi di imprese, è una occasione per definire responsabilità specifiche sui dati, e potrebbe rappresentare un vantaggio competitivo strategico per le corporates.

La cosa rivoluzionaria è che in caso di controversia (denuncia di un Interessato), danno informatico ai dati o di breccia/intrusione ICT queste figure, siano esse interne alla organizzazione o società esterne saranno congiuntamente responsabili e perseguibili ai fini della comminazione di sanzioni.

Questa si che è una entusiasmante nuova prospettiva…

 

 

DOVE FINISCONO LE AUTORITA’ NAZIONALI?
Alle organizzazioni che trattano dati personali, di qualunque classe e dimensione, saranno concessi due anni per adeguarsi. Questa è la notizia più direttamente connessa con la domanda frequente posta dalle aziende che negli ultimi anni ha aspettato la Riforma Europea : ma che fine fanno le Autorità a livello Nazionale?

GDPRNonostante le profonde e storiche diversità tra gli Stati membri, in maniera idiosincratica l’Europa si appresta ad avere nuove norme ancora più uniformi in materia di circolazione dei dati personali e la concertazione tra autorità nazionali, come conferma anche il piano
d’azione per il 2016 annunciato ad inizio febbraio dall’art. 29 Working Party (WP29).
Il piano prevede, tra i vari punti, la costituzione di una task-force WP29- European Data Protection Board (organo di coordinamento delle autorità Garanti nazionali), nonché l’implementazione di sistemi informatici nell’ambito del c.d. One stop shop (sportello unico).

Molta importanza ha il ruolo che le Autorità locali avranno nel periodo di inter-regno di validità delle precedenti versioni nazionali fino al decorrere della cogenza vera e propria del nuovo European Regulation. Nel proprio Paese, le autorità avranno ampia facoltà di emanazione di provvedimenti e norme di interpretazione e applicazione dell’articolato nel GDPR. Ad esempio in merito agli obblighi distinti tra Pubblico e Privato nella nomina obbligatoria del DPO sulla base di trattamenti di dati particolarmente sensibili.

 

 

LA FINTA QUESTIONE DEL DPO
Quella del Data Protection Officer è una questione molto controversa e decisamente non chiara. Diversamente da molti altri adempimenti esplicitamente cogenti e mandatori, questo è stato discusso per anni. Più che per un problema di accountability, il DPO rappresenta un problema nel caso di trattamenti “particolari” (quelli che prima erano i dati sensibili) e nelle organizzazioni disseminate e dipartimentalizzate. Non è solo un risparmio economico, piuttosto la necessità di una competenza interdisciplinare e terza che in prima approssimazione ricorda il ruolo dell’ Auditor Interno e/o il Responsabile AQ di un Sistema di Qualità e Sicurezza in ambiente ISO.

turistaNella prima fase di elaborazione del GDPR, il DPO fu pensato come indispensabile, poi ci si è resi conto del fatto che questo Cristo deve conoscere tutte le normazioni europee, essere un esperto di leggi e di giurisprudenza (Es. Dlg231/01), essere certificato in almeno tre ambiti di Sicurezza Informatica (IT-ISO27001/ISO20000, Cyber Security e Risk Analysis NIST-CLUSIT, Cloud Computing – CSA/ENISA, Gestione di Processo – ITIL/CoBIT), essere un esperto certificato di progettazione e analisi dei rischi, deve essere esperto di docenza e formazione, deve essere terzo rispetto alla Proprietà aziendale più un’altra decina di expertise secondarie solo in ordine di excursus professionale per Sistemi di Qualità e Sicurezza.
Una simile profilazione individua qualcosa come 4 o 5 persone in tutta Italia, e se esistono si  tratta di persone che su LinkedIn troviamo felicemente accasate all’interno di una organizzazione. Difficilmente, passerebbero al mondo del libero professionismo per girare come trottole e guadagnare molto meno.
Insomma, l’adozione di un DPO è definita non mandatoria ma raccomandabile ed eventualmente figura giuridica esterna.

A livello di comunità europea (Parlamento, Consiglio e Commissione o Trilogo), per un certo periodo gli emendamenti controversi hanno riguardato i DPO e le discussioni sembravano orientate a rendere questa figura mandatoria in ragione della dimensione della organizzazione (tipo numero di dipendenti), ma è stato fatto notare di come alcune attività di agenzia (Per es.: Centrali di rischio o studi di investigazione ), seppure con pochi dipendenti può effettuare controlli estremamente critici e dannosi sui dati personali. Quindi ha preso piede la metrica basata sulla quantità di records detenuti. Ma anche  in questo senso si andava incontro a discriminazioni ed elusioni irragionevoli.

TrioPrivacyInsomma alla fine il DPO si è reso facoltativo a discrezione del Data Controller (principale nel caso di joint Controllers).

Di fatto un DPO potrebbe essere indispensabile per una azienda che habbia un Data Center intramurale (on premise), in quanto più efficace ed economico rispetto alla consulenza di una delle Big Four o di un lungo percorso certificativo che comunque non può garantire dalle prescrizioni legali. Si legga, non è che perchè abbiamo una certificazione ISO9001 significa che scongiuriamo le sanzioni del GDPR.

Il DPO è un finto problema perchè in realtà rappresenta un vantaggio competitivo per la società risolvendo e armonizzando ambiti legislativi, progettuali e di governo della Informatica e integrando gli obblighi delle normazioni di compliance.

 

MA QUANTO MI COSTA E COSA RISCHIO
Questa è la domanda che tutti noi consulenti ci sentiamo fare dai clienti. E va suddivisa su due voci di costo : quella del disegno, della progettazione e della implementazione di un nuovo SDPA e quella della esposizione nel caso di sanzione.

gatLa seconda preoccupazione è piuttosto banale da chiarire. Tutte le cifre precedenti sono più che raddoppiate. Sono cioè possibili multe milionarie in quanto si è inteso valutare la rilevanza del danno provocato più che la solita considerazione amministrativa (che peraltro non ha funzionato mai come terrorismo minatorio presso le società). Per un senso di pudore dell lobby che hanno condizionato il Trilogo, si è concesso che nel caso delle multinazionali, a discrezione del giudice, per avere un conclamato effetto di deterrenza, si può arrivare dino al 4% dell’ultimo fatturato dichiarato a bilancio societario. E’ cioè sensibilizzata anche la multi-nazionale ala quale pagare qualche migliaia di Euro non cambia molto.

Forse perchè consulente, penso al mio primo Disciplinare Tecnico e DPS nel 1998 per una Clinica Privata nelle campagnie del Piacentino, mi concentro sui costi di realizzazione di un Sistema di Data Protection aziendale (SDPA).
Come spiegato in incipit, un sistema privacy non è ciclostilabile, soprattutto perchè i controlli saranno orientati alle verifiche sui sistema ICT :  procedure di backup, misure di protezione perimetrale, formazione specifica per ogni ruolo, controllo delle forniture ICT, dove presente della compliance della impiantistica anti-intrusione e videosorveglianza per citare le prima a mente.

Ulteriore considerazione generale causale rispetto al precedente punto, il fatto che la tipologia di trattamenti (cartacei, digitali, DB distribuiti o pubblicati), la classe della dotazione informatica e delle piattaforme software utilizzate (LAN,WAN BladeSystem, virtualizzazione ecc), le finalità del trattamento (Legali, profilazione ecc.), il trasferimento e la condivisione con l’esterno dei dati (scambio transfrontaliero), l’ambito del processo di business (e-commerce, pubblicitario, assicurazioni, produzione, servizi ICT ecc.) rendono non plausibile pensare ad un lavoro uniforme e ripetitivo.

tuttofareChe sia nominato DPO o si conporti come fornitore di prestazione consulenziale, un professionista deve svolgere attività comparative e multi disciplinarie di GRC (Governance, Risk and Compliance management).

Quindi per esaurire in modo riassuntivo, il costo e la quantità di lavoro consulenziale e di affiancamento, se possibile è decuplicato rispetto ai precedenti Sistemi Privacy. E che non sembri paradossale, ma questo è dovuto proprio al fatto che non si chiede più di avere una postura formale cartacea, ma un effettiva e attuata pletora di procedure e istruzioni operative comprovate e comprovabili di Sicurezza Informatica. Come abbiamo visto sopra nel paragrafo della Notificazione, per rendere obbligatoria e non eludibile questo ultimo adempimento si è previsto un articolato specifico per il rispetto del provvedimento sul Data Breach. Era in realtà previsto da prima con il Dlg.196/03, ma ora è posto alla stregua della Informativa e del Consenso al trattamento.

 

L’ARTICOLO 17 E IL DIRITTO ALL’OBLIO
La questione tanto dibattuta del diritto all’oblio è apparentemente legata ad uno scontro ideologico della civiltà delle persone come individui nei confronti del cyberspace. In merito all’indiscutibile posizione che sia o meno giusto, esauriamo la discussione dicendo semplicemente che si tratta di una ipocrisia, vissuta in quella linee di confine mai definita tra l’esigenza della tutela del singolo e il diritto di sapere de molti.

Affrontiamo in vece secondo lo spirito molto pratico di questo articolo mirato a capire cosa operativamente comporta l’adozione del Data Protection.

E’ sempre esistito il diritto dell’interessato all’esercizio dell’Art. 7 del Dlg.196/03 per la richiesta di accesso ai propri dati, al loro aggiornamento… Adesso è del tutto esplicito che l’interessato (chiunque) possa rivolgersi ad una organizzazione richiedendo in qualunque momento la completa, definitiva e retrospettica cancellazione dei dati che lo riguardano.

Chi sa’ cosa comporta la gestione di grandi repertori di DataBase, può incorrere in uno svenimento!!! Pensiamo cosa accadrebbe se tutti scrivessero ad una qualunque delle istituzioni pubbliche.

L’ARTICOLO 18 E IL DIRITTO ALLA PORTABILITA’

Non a caso dopo l’oblio (Art.17), troviamo l’articolo successivo relativo alla portabilità
Ci sarebbe un discorso molto articolato, soprattutto di natura giurisprudenziale, ma per farla breve e sempre coerenti con lo spirito riassuntivo di questa pubblicazione, una società deve approntare dimostrabili procedure che attestano come, a fronte della richiesta di cancellazione dagli archivi, è in grado di effettuarla dandone peraltro riscontro in tempi veloci ed in formati standardizzati fruibili secondo portabilità da un Interessato.
La esigenza di standardizzare formati fruibili in risposta alla richiesta di un interessato è finalizzata e finalizzabile alle esigenze di portabilità
Si intende con ciò la facoltà di conservare un proprio record di dati personali spostandolo da un repertorio ad un altro.

 

Nella migliore delle pochissime policies ufficialmente documentate, i grandi player danno la possibilità di esportare dei dati (CSV,XLM,ASCII o simile), ma con metriche di tracciato record del tutto arbitrarie… Quindi, come sempre è stato nell mondo dei DBs, gli oneri sono sempre dalla parte della struttura recipient. Che equivale a dire, tutti affari dell’ Interessato… Se vuole portarsi via i dati ne faccia quello che crede con chi gli pare.

Di questo, e molte altre cose, potremo solo etologicamente osservare la evoluzione ! Al momento nessuno sa’ cosa potrà realisticamente succedere perchè anche in un mondo come quello del Cloud Computing, di fatto la portabilità è pressocchè mitologia.

 

continua nella Parte 2

 

 

 

Non esiste la Privacy certificata, ma voi dovete essere certificabili

Quella della Certificazione Privacy è una dei tanti temi male interpretati e misdiretti a causa della sindrome da divulgazione e disseminazione con cui è permesso anche a incompetenti di fare “informazione”.

Purtroppo, con il pretesto di svolgere una importante funzione sociale, il tema della Privacy e della Protezione dei dati viene pubblicata in inutili trafiletti (per lo più riportati da altri trafiletti), anche nelle riviste di maglia e cucito per donne sole. Un quadro se possibile ulteriormente esasperato dall’avvento del decreto di coordinamento ed integrazione che ha novellato il Codice privacy: il Dlg.101/2018 del 19 Settembre 2018

Per gli addetti ai lavori che conoscono la materia, la triste conferma della sindrome della “impermanenza di senso” tradizionalmente italiana. In parole aforistiche:

Tutti dicono di sapere <cosa> fare, nessuno spiega <come>!

Questo non riguarda solo la Certificazione ma un po’ tutta la rivoluzionaria compagine di Principi e Criteri fondanti la materia della Protezione dei Dati così come Riformata dal GDPR/16/EU, in Italia il Regolamento 679/16.

Pensiamo alla “Accountability” (Rendere conto di… e non responsabilizzazione), alla “Data Breach“, al “Legitimate Interest“, “D-PIA“, la Privacy “By Design & By Default” per citare i più rilevanti. 

Il grado di superficialità e disattenzione a questa rivoluzione culturale per le aziende italiane, è pari solamente alla preoccupazione con la quale imprenditori e loro managers a vario titolo coinvolti nella responsabilità del Sistema Privacy aziendale, cercano solo di eludere gli obblighi e gli adempimenti pensando che, come in passato, basterà avere qualche firma di consenso e qualche foglio di nomina… 

Non è più una questione formale ma sostanziale!

Veniamo al punto del post e ci sia perdonata la drasticità dello stile da Blogger e non da narratore. Non è plausibile per le aziende risolvere con una Certificazione semplicemente perché

La certificazione Privacy non esiste!

Non solo, anche se in azienda ne avete già una ISO (che si tratta della famiglia 9000, 14000, 20000, 27000, 18000 ecc ecc.), questo non vi manleva dagli adempimenti del Regolamento 679/16. Soprattutto dal 19 Settembre sopra citato!

E’ però ragionevole pensare di sfruttare l’investimento in Qualità e Sicurezza per economizzare dei costi della Privacy. Se operate seriamente gli impegni economici potrebbero essere contenuti a poche migliaia di euro di HW, qualche centinaio per un po’ di licenze SW!!!

Se poi il vostro consulente Privacy (che non deve e non può essere un DPO), è anche un esperto, allora vi proporrà un Sistema di Privacy e Protezione dei Dati (SPPD) il cui manuale non sia cartaceo ma elettronico/digitale e, soprattutto, sia compatibile e integrato con il vostro preesistente sistema SQS ISO, grazie ad uno schema Privacy 4.0.

Non volete aggiornare il vostro modello Impresa 4.0, aiutatevi con la Privacy 4.0 perchè sarà sufficiente essere certificabili e non occorre essere certificati.

Chi scrive  ha usato consulenzialmente uno schema di Audit Privacy TQM già dalla prima direttiva 46/EU/95 perché applicare un metodo SQS ispirato al Ciclo PDCA, è semplicemente l’unico modo unificato per la Industri 4.0; non è infatti casuale che dal 2015 la stessa ISO ha creato l’Annex SL ( Index HLS, Indice di Alto Livello di Struttura).

Non è plausibile pensare anche solo di intraprendere una introduzione alla tematica, ma sempre più manager e imprenditori cominciano a farsi domande e cercano soluzioni come quelle proposte in Italia da alcune agenzie di consulenza e/o grandi produttori.

Tutti hanno quella che definiscono “Soluzione Privacy”

In ogni caso, non serve una Certificazione Privacy, ma averne una in casa semplifica e fa risparmiare la compliance con il Regolamento e scongiura la esposizione al sistema sanzionatorio che dal 19 Settembre ha introdotto 4 nuovi reati privacy che possono portare al penale e alla detenzione da 3 a 6 anni.

Articoli e contenuti sullo schema di Audit TQM per la Privacy 4.0 sul sito del consulente

Consultate i termini di utilizzo e di manleva nella informativa sul sito dell’autore


Presentazione corso sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

 

Dopo il 101/2018 – Se mi chiedono il Registro dei Trattamenti? …e se vi ferma la Polizia Stradale e vi chiedono la patente?

Se vi ferma la Polizia Stradale vi chiede “patente e libretto” (una volta anche il tagliando della assicurazione se non era esposto in bella mostra… Adesso il nuovo Codice della Strada usa le banche dati!)

Beh, se avete una ispezione del GAT prima di tutto mostrate il Registro, anzi, i Registri dei Trattamenti…

Tutto è dettagliato nell’art. 30 del Regolamento n. 679/2016 derivato da quello europeo GDPR/EU/2016 (di seguito “Regolamento”) che indica il Registro come uno dei primari  adempimenti del Titolare e delle figure privacy  corresponsabilizzate nel Sistema Privacy della organizzazione.

NON UNO, MA DUE!
La prima osservazione non esplicitata ma desumibile dal Regolamento  è che i Registri sono in realtà due. Uno per il TdT e l’altro per il Rdt (o “Designato”m nuova figura individuata dal Dlg. 101/2018). Come vedremo più avanti anche la Autorità di Controllo ha messo a disposizione due modelli di foglio elettronico relativi appunto a due versioni di un Registro fac-simile

CARTA O HARD-DISK!
La seconda osservazione preliminare è che il registro può essere tenuto, e quindi mostrato alla pattuglia ispettiva, in formato elettronico! Naturalmente il file deve essere conservato in un volume, cartella e/o area del web della organizzazione il cui accesso sia possibile solamente ai Soggetti Autorizzati che lo gestiscono per contro del TdT.

Parliamo di  un documento che riassume ed elenca  le informazioni richieste dall’art. 30 del Regolamento) delle operazioni di trattamento svolte dal titolare e, se
nominato, dal responsabile del trattamento (la versione del responsabile ha alcune differenze che dettagliamo in seguito).

Il Registro dimostra la vostra “accountability“,  e visualizza la situazione di insieme aggiornata dei trattamenti che sono correntemente condotti all’interno della propria
organizzazione; peraltro, senza il Registro, non si potrebbe giustificare la coerente attività di valutazione o analisi del rischio (altro obbligo indispensabile!).

SENZA NIENTE DPIA!
Altra osservazione deducibile: il Registro è quindi precedente rispetto alla Analisi dei Rischi e della eventuale valutazione degli impatti. Quindi sia esso in avere forma cartacea o elettronica, e deve essere fatto.

§ § §

Nella PA praticamente tutti i titolari/responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del Regolamento).

Nell’ambito privato, i soggetti obbligati sono derivabili dai paragrafi citati:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche
    non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui
    all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a
    reati di cui all’articolo 10 RGPD.

 

NOTA: con il termine “organizzazioni” di cui all’art. 30, par. 5 si intende anche le associazioni, fondazioni e i comitati.

§ § §

In merito a chi certamente lo deve redarre possiamo elencare, seppure non in modo conclusivo (vedi nota sotto elenco):

  • Esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar,
    ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei
    clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati
    relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati,
    fisioterapisti, farmacisti, medici in generale);
  • Associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati
    relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.;
  • Associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
  • Associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati;
  • Aassociazioni e movimenti a carattere religioso);
  • Il condominio che tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L.n.13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

 

NOTA: dopo il  19 Settembre 2018 con il Dlg101/2018 il legislatore ha indicato possibili future emanazioni dalla AC in merito alle semplificazioni e le imprese e organizzazioni con meno di 250 dipendenti comunque obbligate al Registro potrebbero beneficiare di alcune future misure di semplificazione. Ad esempio la redazione del Registro contiene solo specifiche attività di trattamento di c.d. dati particolari di un solo lavoratore dipendente.

Oltre ai casi obbligatori, la tenuta  del Registro è comunque caldeggiata dal considerando  82 del Regolamento, la AC ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, perché si tratta di uno strumento vincente a prescindere e contribuisce ad attuare in modo semplice il principio di accountability. Soprattutto il TdT declina e dimostra un atteggiamento collaborativo e costruttivo nel “rendere conto” per i controllo dell’ AC.

Illuminante per questo aspetto il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente
link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

§ § §

In merito alle informazioni contenute nel Registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD) possiamo suggerire il seguente prospetto.

Più che un vincolo formale, l’approccio deve essere sostanziale come in tutta la manualistica documentale nello spirito della Riforma Europea della Protezione dei Dati.

Basta seguire i fac-simile del foglio elettronico reso disponibile dalla AC.

Finalità del trattamento: questa informazione deve prima di tutto distinguere le varie tipologie di trattamento; si pensi a dei dati dei dipendenti per la gestione del rapporto di lavoro piuttosto che dati di contatto dei fornitori per la gestione degli ordini.
Non dimenticate di mettere la base giuridica dello stesso (v. art. 6 del Regolamento) soprattutto se state ricorrendo  al “legittimo interesse”!

Quando vi appellate al legittimo interesse, dovere descrivere in dettaglio le derivanti “garanzie adeguate” e di fatto diventa mandatoria la preventiva valutazione d’impatto (Provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]).

La base giuridica è un aspetto critico anche nel caso di “categorie particolari di dati”,
(art. 9, par. 2 del Regolamento.  Infatti, per i trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’Art. 10 del Regolamento.

Categorie di interessati e delle categorie di dati personali – qui vanno dettagliate le tipologie di interessati come clienti, fornitori, dipendenti ecc.,  e quelle di dati personali trattati come dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc..

Categorie di destinatari a cui i dati sono stati o saranno comunicati – quella dei “Destinatari” è una nuova definizione introdotta rispetto al Codice Privacy del Dlg.196/03. Nella cella del foglio elettronico si devono compilare, anche in modo essenziale per categoria di appartenenza, eventuali Co-titolarità!
Infatti, altri eventuali titolari cui siano comunicati i dati come ad esempio enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, sono considerati alla stregua di soggetti ai quali responsabili e sub-responsabili del trattamento siano essi interni o esterni alla organizzazione.  Questo perché i dati trasmessi (comunicati o diffusi) da parte del titolare ad un soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento, devono condividere la responsabilità e gli obblighi derivanti dagli adempimenti del Regolamento.

Trasferimenti di dati personali verso un paese terzo  – andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente alla indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del Regolamento (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)

 

Termini ultimi previsti per la cancellazione – assicuratevi di indicare i tempi di cancellazione per ogni tipologia e ogni diversa finalità di trattamento. Se pensiamo ai dati di un rapporto contrattuale saranno sicuramente stoccati per 10 anni dalla ultima registrazione  (Art. 2220 del codice civile”). Dove non conoscete a priori un termine massimo, esprimete i tempi di conservazione indicando “fasce di criteri” come le prassi settoriali usati dalle norme di legge. Una formula suggerita nelle linee guida diffuse dal Garante dei Garanti europei potrebbe essere “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”.

Descrizione generale delle misure di sicurezza –  anche solo in modo sommario, non trascurate du indicare le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del Regolamento. Tenere sempre a mente che dipende solo dal titolare la valutazione finale del livello di sicurezza “adeguato” ai rischi presentati dalle attività di trattamento effettive. Attenzione alla massima credibilità di questo elenco di misure che non sarà mai fisso visto che è un obbligo quello di revisionare e continuamente aggiornare la dotazione tecnologica con con gli sviluppi della tecnologia e l’evolvere delle forme di minacce informatiche.

Una raccomandazione: usate uno stile riassuntivo e sintetico del quadro generale e complessivo secondo le attività effettivamente svolte (non fate cut & paste con i registri di altri!). Semmai in legenda rinviate a riferimenti al Manuale del Sistema Privacy e Protezione dei Dati (MSPPD con procedure organizzative interne; prassi operative, security policy e registrazioni  ecc. ) dove spiegate in dettaglio eventuali valutazioni specifiche 

Infine, ricordate che dal 101/2018 in poi se il TdT ha una figura “Referente Privacy Interno” e/o un “Designato Privacy”, sfruttate il Registro per aggiungere trattamenti di dati relativi alla raccolta del consenso, alle valutazioni di impatto nei vari trattamenti!

I fac-simile forniti possono essere arricchiti e migliorati, soprattutto se dimostrate di avere coerenza sostanziale con le misure fisiche, logiche ed organizzative effettivamente implementate dal vostro sistema Privacy!

Salvo Reina

Per approfondimenti: Web Media-Learning center, Area Tematica divulgativa, Biblioteca sitografica Privacy TQM, Webinars gratuiti dell’autore

Facsimile dell’Autorità di Controllo:

  1. Modello Semplificato per RdT PMI (PDF, XLS)
  2. Modello Semplificato per TdT PMI (PDF, XLS)

 

NOTA: L’autore riporta i riferimenti sitografici ufficiali così come resi disponibili al tempo della pubblicazione della fonte primaria ma non risponde dell’aggiornamento e della disponibilità dei contenuti dei siti di altri.

Consultate i termini di utilizzo e di manleva nella informativa sul sito dell’autore


Presentazione corso sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

Seminari WEB di Privacy 4.0 – Dlgs.101/2018

Dal 19 Settembre 2018 uscito in Gazzetta Ufficiale il Dlg.s101/2018 che armonizza e integra il Codice Privacy (Dlg.196/03) con il Regolamento Europeo (GDPR/2016/EU) in Italia ratificato come Reg.679/2016.

Una immensa quantità di divulgazione e disseminazione si riversa su tutte le forme giornalistiche cartacee e digitali, di settore o generaliste… eppure…

Tutti sanno cosa si deve fare ma nessuno spiega come!

Abbiamo sezionato l’enorme scenario di tematiche legate alla rivoluzione tecnologico-normativa che investe aziende, imprese, società e organizzazioni di ogni grandezza e tipologia merceologica creando un percorso formativo (come) e non solo informativo (cosa) fruibile comodamente davanti allo schermo.

GDPR a chiacchere senza la “i”

  1. Introduzione alla Data Protection in azienda (Parte 1)
  2. Introduzione alla Data Protection in azienda (Parte 2)
  3. Dal dato, alla informazione, alla comunicazione e alla diffusione
  4. Ontogenesi e filogenesi delle norme: storiografia ragionata della evoluzione della Privacy 4.0
  5. GDPR in Italia col Reg. 679/16: vessazione o opportunità di crescita evolutiva delle imprese?
  6. Fondamenti e pilastri dei concetti e dei criteri di adempimento DP 
  7. DPO or not DPO: that is the question!
  8. Reg.679/16: rivoluzione Titolare del Trattamento centrico
  9. Sistema di Data Protection in azienda: implementazione e documentazione
  10. Sistema di Data Protection in azienda: Soggetti e figure attuative e operative – Seminario in due video: Parte 1 e Parte 2 (dedicata ai Responsabili Esterni)
  11. Sistema di Data Protection in azienda: DPO come consigliere del Titolare del Trattamento
  12. Aree critiche e situazioni speciali: DP e Jobs Act
  13. Ingaggio e approccio alle ispezioni: fronteggiare l’autorità senza timore di sanzioni
  14. Il GDPR a chiacchere: ERRATA CORRIGE

 

Come sempre, buon lavoro e buona privacy con i nostri webinars nel corso multimediale su youtube!

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

Il GDPR a chiacchere: ERRATA CORRIGE

GDPR a chiacchere senza la “i”

A due mesi dalla iniziativa GRPR a Chiacchere senza la “i” riportiamo una collezione di osservazioni, segnalazioni e rettifiche arrivate all’autore. Con il consueto stile informale e discorsivo si risponde e commentano i vari punti emersi dai frequentatori dei seminari. Da osservazioni folkloristiche e temi controversi una doverosa replica a chi ha seguito la nostra divulgazione. Che siano apprezzamenti o critiche un grazie a tutti voi

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

13. Ingaggio e approccio alle ispezioni: fronteggiare l’autorità senza timore di sanzioni

GDPR a chiacchere senza la “i”

Dal 2010 il numero di controlli e la somma di Euro comminati è sistematicamente cresciuta. Quello delle ispezioni è un tema a cui tutti si riferiscono e di cui nessuno spiega: come si svolge, quale ingaggio sostenere, quali diritti del TdT, come viene svolta l’ispezione, cosa comporta il sanzionamento e quanti tipi di ispezioni esistono? La pattuglia del GAT (nucleo investigativo della GdF legato alla Autorità Garante da Protocolloo di Intesa) deve in realtà seguire a sua volta gli adempimenti e le prassi prescritte nel Reg.680/2016. Questa ed altre utili nozioni sono trattate in questa clip con il consueto stile informale e sostanziale.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

12. Aree critiche e situazioni speciali: DP e Jobs Act

GDPR a chiacchere senza la “i”

Dopo aver seguito il percorso tematico delle precedenti sessioni, dovremmo aver acquisito una idea più chiara e precisa del mondo della Data Protection. Avendo introiettato i concenti fondamentali, gli elementi strutturali primari e una vista armonica sugli adempimenti e il progetto del SPD aziendale, rimangono alcune aree critiche e delle situazioni speciali. La criticità di questi punti è dovuta a possibili mistificazioni tecnologiche, incomprensione dei concetti fondanti la norma (Es. Privacy by design & by default) ma anche semplicemente alla peculiarità del tipo di business della azienda e il suo assetto in ambito ICT. Dopo il consueto riassunto delle lezioni precedenti focalizziamo il punto del Jobs Act nella azienda e il controllo remoto dei lavoratori

Quì affrontiamo, singolarmente prese, ognuna delle figure e dei soggetti del SPD puntualizzando obblighi, prassi e responsabilità assegnate dal Regolamento; come da nostro stile pragmatico, svolgiamo degli esempi paradigmatici di situazioni aziendali tipizzate sulla alberatura gerarchica delle figure SPD come derivata dalle scelte del TDT e dei propri collaboratori. Già nel nostro webinar n.9 sul Manuale dell Sistema di Protezione dei Dati (MSDP) abbiamo spiegato il criterio delle nomine/deleghe, ma in questo contesto scendiamo nel dettaggio di ogni soggetto a fronte del relativo articolato del regolamento.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

11. Sistema di Data Protection in azienda: DPO come consigliere del Titolare del Trattamento

GDPR a chiacchere senza la “i”

Dopo Questa puntata assume una piena conoscenza della clip n.7 con la quale abbiamo esaurito un completo percorso di valutazione della figura del DPO o RPD. Se avete questa acquisizione allora possiao tornare ad un aspetto di primaria importanza che attiene la interazione professionale tra il Titolare del Trattamento e il DPO (laddove presente). Ci soffermiamo soprattutto sulle aspettative del TDT spiegando cosa si può esigere, cosa rivelare, cosa pagare un DPO. Da questo rapporto scaturiscono le scelte di investimenti e la struttura progettuale dell’intero impianto normativo del Regolamento all’interno della azienda e nel formalismo della documentazione del MSDP.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

 

10.1 Sistema di Data Protection in azienda: Soggetti e figure attuative e operative (Parte 2)

GDPR a chiacchere senza la “i”

In una sana organizzazione/azienda o società il Sistema di Protezione dei Dati (SPD) è costruito intorno alle competenze ed i ruoli delle funzioni aziendali di tutte le risorse umane. Ognuno, in ragione del suo grado di interazione con i dati di business e personali, deve essere istruito e formato con un Piano di Formazione e Aggiornamento specifico. Senza questa prerogativa e senza le conseguenti nomine/deleghe di funzione peculiari, il Reg.679/2016 preclude lo stesso inizio di trattamento dei dati!

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

10. Sistema di Data Protection in azienda: Soggetti e figure attuative e operative (Parte 1)

GDPR a chiacchere senza la “i”

In una sana organizzazione/azienda o società il Sistema di Protezione dei Dati (SPD) è costruito intorno alle competenze ed i ruoli delle funzioni aziendali di tutte le risorse umane. Ognuno, in ragione del suo grado di interazione con i dati di business e personali, deve essere istruito e formato con un Piano di Formazione e Aggiornamento specifico. Senza questa prerogativa e senza le conseguenti nomine/deleghe di funzione peculiari, il Reg.679/2016 preclude lo stesso inizio di trattamento dei dati! Quì affrontiamo, singolarmente prese, ognuna delle figure e dei soggetti del SPD puntualizzando obblighi, prassi e responsabilità assegnate dal Regolamento; come da nostro stile pragmatico, svolgiamo degli esempi paradigmatici di situazioni aziendali tipizzate sulla alberatura gerarchica delle figure SPD come derivata dalle scelte del TDT e dei propri collaboratori. Già nel nostro webinar n.9 sul Manuale dell Sistema di Protezione dei Dati (MSDP) abbiamo spiegato il criterio delle nomine/deleghe, ma in questo contesto scendiamo nel dettaggio di ogni soggetto a fronte del relativo articolato del regolamento.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

 

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

9. Sistema di Data Protection in azienda: implementazione e documentazione

GDPR a chiacchere senza la “i”

La istruttoria di un Sistema di Protezione dei Dati non può fare a meno della carta. Una strepitosa novità riguarda il fatto che con il Reg.679/2016 è possibile avere entrambi i formati cartaceo ed elettronico/digitale, tuttavia il vero problema è conoscere la struttura del Manuale del SDP (MSDP) e sapere come va gestito e aggiornato periodicamente. In questo incontro video trattiamo estesamente la componente attuativa e operativa del MSDP. Questo permette di apprendere i formalismi di scrittura delle politiche, delle procedure gestionali corrispondenti ai sengoli adempimenti. Chiaramente una descrizione enfatica viene sviluppata su informativa, consenso, valutazione di rischi e impatti (DVR e DPIA) oltre che al Registro dei Trattamenti e le scritture transattive nella riqualificazione delle contrattualistiche con forntori, soprattutto se responsabili esterni del trattamento. Insieme alla documentazione del MSDP si integrano le raccomandazioni su come integrare SLA, PLA, DTA e BCR; questo viene raccondato alla possibilità del Titolare del Trattamento di rivendicare un Interesse Legittimo per vincoli di basi giuridiche (contratti di licenza, Copyright o brevetti) che possono superare il consenso dell’interessato.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

8. Reg.679/16: rivoluzione Titolare del Trattamento centrico

GDPR a chiacchere senza la “i”

Non tutti lo dicono, ma la vera rivoluzione culturale e strutturale per l’azienda è il Titolare del Trattamento (TdT). La centralità del controllo di un Sistema di Protezione dei Dati e con esso il gravame normativo e sanzionatorio dovuti alle responsabilità che ne conseguono ricadono interamente ed elettivamente sul TdT. Il vero cambiamento di paradigma è per una società/azienda/organizzazione vincolato alla piena consapevolezza della Proprietà che capirà quanto vantaggiosa e non vessatoria è la opportunità di redisegnare e evolvere il proprio business orientandolo alle valutazioni di rischi e impatti derivanti dall’utilizzo dei dati. Prima di tutto i propri dati interni investendo sulla crasi del Codice Privacy con la Sicurezza Informatica. Questa evoluzione è necessaria per allinearsi alle nuove forme di economia liquida in cui i dati rappresentano il valore aggiunto competitivo di business. Insomma, e indipendentemente dal settore merceologico o di servizi, non provincializzare un miope adempimento formale, piuttosto adeguare l’azienda verso modelli globali.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

7. DPO or not DPO: that is the question!

GDPR a chiacchere senza la “i”

Il Responsabile della Protezione dei Dati (Data Protection Officer nel (GDPR), è una figura nuova che il Titolare del Trattamento, e dove designato il Responsabile del Trattamento, usano come riferimento olistico dell’intero Sistema di Protezione dei Dati (SPD). Questo ruolo pivotale rispetto alla progettazione di un SPD si concretizza contestualmente e concorrenzialmente su piani legali, normativi, funzionali, di controllo, di indirizzo e di programmazione delle attività di tutti gli altri soggetti interni ed esterni del sistema. Nella nostra chiaccherata sul DPO, trattiamo tutti gli elementi controversi legati all’obbligo di adozione, alle prassi di nomina, alla qualificazione delle proprie responsabilità, a indicazioni pratiche econometriche e non ultimo alle tipologie contrattuali che l’azienda formalizza nel rapporto consulenziale. Come da nostra abitudine demistifichiamo alcune zone oscure che riguardano le aspettative del Titolare del Trattamento spiegando il perchè, anche dove non è mandatorio avere un RPD, è comunque raccomandabile adottarne uno.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

6.0 Fondamenti e pilastri dei concetti e dei criteri di adempimento DP (cap.1)

GDPR a chiacchere senza la “i”

E’ ora di passare in rassegna sistematicamente gli adempimenti del Reg.679/2016 e per ognuno di essi verticalizzare con esempi pratici. Ad ogni passaggio ragioniamo sulle implicazioni pratiche da tradurre in misure fisiche, logiche e organizzative da approntare in azienda. Questa clip offre spunti concreti sia per i Titolari del trattamento che per i loro legali; inoltre, sono rivelate le corrette interpretazioni necessarie ad organizzare il piano di adeguamento da intraprendere seguendo le classificazioni dei dati e dei loro trattamenti. Grazie a queste nozioni si potranno prendere scelte di nomine/deleghe dei collabolatori, predisporre l’analisi dei rischi e degli impatti e un cronogramma preliminare dello sforzo econometrico per la progettazione del nuovo Sistema di Data Protection.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

 

5. GDPR in Italia col Reg. 679/16: vessazione o opportunità di crescita evolutiva delle imprese?

GDPR a chiacchere senza la “i”

Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

 

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

4 Ontogenesi e filogenesi delle norme: storiografia ragionata della evoluzione della DP

GDPR a chiacchere senza la “i”

Non è possibile preparare un piano di adeguamento alla Protezione dei Dati aziendali senza una buona comprensione del percorso legislativo e normativo europeo. Questa sessione ripercorre dal 1984 fino ad oggi le tappe significative della materia. Cosi come già fatto dal punto di vista della evoluzione tecnologica (le due cose sono correlate), il metodo di studio è quello di fare riferimenti sociali e tecnologici che tutti noi abbiamo vissuto negli ultimi due decenni.
Il procedere nella storiografia permette di acquisire familiarità con le definizioni e le pronuncie normative ma anche di acquisire una migliore consapevolezza circa il vantaggio che una organizzazione sana potrà acquisire in linea con il futuro del business digitale.

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Non è possibile preparare un piano di adeguamento alla Protezione dei Dati aziendali senza una buona comprensione del percorso legislativo e normativo europeo. Questa sessione ripercorre dal 1984 fino ad oggi le tappe significative della materia. Cosi come già fatto dal punto di vista della evoluzione tecnologica (le due cose sono correlate), il metodo di studio è quello di fare riferimenti sociali e tecnologici che tutti noi abbiamo vissuto negli ultimi due decenni. Il procedere nella storiografia permette di acquisire familiarità con le definizioni e le pronunce normative ma anche di acquisire una migliore consapevolezza circa il vantaggio che una organizzazione sana potrà acquisire in linea con il futuro del business digitale. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o schematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

Grazie

Salvo Reina

http://www.salvoreina.it

dpo@salvoreina.it

 

3. GDPR a chiacchere: Dal dato, alla informazione, alla comunicazione e alla diffusione

GDPR a chiacchere senza la “i”

Questo video è pensato per gli amici informatici, i migliori conoscitori dei propri Data Center. Che si tratti di pochi computer di una LAN o di svariati Nodi di dominio con migliaia di stazioni di una WAN, la scalabilità dei suggerimenti che sono formiti è pienamente applicabile. Naturalmente, sono indicate alcune tecniche di compliance per gli adempimenti del Data Breach e dello stoccaggio delle informazioni.
Il percorso della chiaccherata è molto informale e colloquiale tuttavia segue un percorso di approccio metodologico che guida a partire dal byte e finire con la diffusione di informazioni contestualizzando le tipologie di processazione del dato. Per ogni tipologia sono spiegati i riferimenti sul “come” e “cosa” fare dal punto di vista sistemistico. Faranno piacere alcune utili indicazioni di carattere regolatorio con le quali gli informatici non hanno completa dimestichezza.

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Questo video è pensato per gli amici informatici, i migliori conoscitori dei propri Data Center. Che si tratti di pochi computer di una LAN o di svariati Nodi di dominio con migliaia di stazioni di una WAN, la scalabilità dei suggerimenti che sono formiti è pienamente applicabile. Naturalmente, sono indicate alcune tecniche di compliance per gli adempimenti del Data Breach e dello stoccaggio delle informazioni. Il percorso della chiaccherata è molto informale e colloquiale tuttavia segue un percorso di approccio metodologico che guida a partire dal byte e finire con la diffusione di informazioni contestualizzando le tipologie di processazione del dato. Per ogni tipologia sono spiegati i riferimenti sul “come” e “cosa” fare dal punto di vista sistemistico. Faranno piacere alcune utili indicazioni di carattere regolatorio con le quali gli informatici non hanno completa dimestichezza. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo Grazie Salvo Reina http://www.salvoreina.it

 

2 GDPR a chiacchere: Introduzione alla Data Protection in azienda (Parte 2)

GDPR a chiacchere senza la “i”

Nel secondo appuntamento, la chiaccherata è rivolta principalmente a Titolari del Trattamento e manager di azienda per sensibilizzare le loro competenze da un punto di vista della responsabilizzazione dei compiti. Diversamente dal precedente Codice Privacy (Dlg.vo 196/03), il nuovo sistema di Data Protection poggia gli architravi e le colonne portanti sulla Proprietà, la Direzione ed i primi livello. Senza questa reale consapevolezza semplicemente non ci sarà un Sistema di DP. La forma e il semplice adempimento cartaceo sono inutili a fronteggiare le visite ispettive o gli interpelli della Autorità Garante.

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Nel secondo appuntamento, la chiaccherata è rivolta principalmente a Titolari del Trattamento e manager di azienda per sensibilizzare le loro competenze da un punto di vista della responsabilizzazione dei compiti. Diversamente dal precedente Codice Privacy (Dlg.vo 196/03), il nuovo sistema di Data Protection poggia gli architravi e le colonne portanti sulla Proprietà, la Direzione ed i primi livello. Senza questa reale consapevolezza semplicemente non ci sarà un Sistema di DP. La forma e il semplice adempimento cartaceo sono inutili a fronteggiare le visite ispettive o gli interpelli della Autorità Garante. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o schematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo Grazie Salvo Reina http://www.salvoreina.it dpo@salvoreina.it

1 GDPR a chiacchere: Introduzione alla Data Protection in azienda (Parte 1)

GDPR a chiacchere senza la “i”

Un nuovo paradigma di portata tettonica sta investendo il mondo delle aziende di ogni settore e grandezza. La riforma europea sulla Protezione dei Dati porta le società produttive, di servizio siano esse pubbliche o private verso un futuro di sicurezza informatica e di governo e controllo dei processi di Trattamento dei Dati Personali. Questi ultimi, sono il valore distintivo di una azienda 4.0
In uno scenario complesso di evoluzione informatica e dei modelli di business digitali, il primo video coordina tutti gli ambiti tecnologici e normativo-regolatori coinvolti nella reingegnerizzazione di un sistema a prova di CyberCrime e garantisce l’uso corretto di dati nell’economia “liquida”

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Un nuovo paradigma di portata tettonica sta investendo il mondo delle aziende di ogni settore e grandezza. La riforma europea sulla Protezione dei Dati porta le società produttive, di servizio siano esse pubbliche o private verso un futuro di sicurezza informatica e di governo e controllo dei processi di Trattamento dei Dati Personali. Questi ultimi, sono il valore distintivo di una azienda 4.0 In uno scenario complesso di evoluzione informatica e dei modelli di business digitali, il primo video coordina tutti gli ambiti tecnologici e normativo-regolatori coinvolti nella reingegnerizzazione di un sistema a prova di CyberCrime e garantisce l’uso corretto di dati nell’economia “liquida” La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo Grazie Salvo Reina http://www.salvoreina.it dpo@salvoreina.it

 

Se non vi occupate di Privacy, la Privacy si occuperà di voi.

Come tutti quelli che fanno il mio mestiere, quando finisco un seminario mi lascio “maltrattare” nello consueto spazio delle domande all’esperto.

Da oggi 19 Settembre 2018, non lo permetterò più

Web

Quando negli anni ’90 lo facevo da universitario era un gusto sublime. Il momento migliore delle lezioni, quello in cui gli studenti meticolosi con i loro appunti del mese prima ti sollevavano possibili contraddizioni o reclamavano cifre e riferimenti delle diapositive che non coincidevano con il libro di testo… Meraviglioso.

Lasciando università e accademia ho trasmutato le attitudini di docente come formatore. Quando fai il professionista esperto devi essere più andragogo e meno pedagogo, più relatore e meno insegnante, diversamente non ti pagano.

Mi sono occupato di molti ambiti ma quello in cui ho speso il maggior numero di anni è quello del mondo della Privacy. Come accade per tutti i professionisti, non si è trattato di una scelta. Si diventa ciò che ti capita perché si va dove il lavoro ti cerca e quello che ti capita dipende da chi ti cerca.
Fare il consulente privacy significa conoscere normative e regolazioni giuridiche internazionali, essere esperto di ICT e Sicurezza Digitale ed avere una decennale esperienza di gestione integrata di Sistemi Qualità e Sicurezza. Insomma, mi sento un privilegiato perché ho potuto continuare ad alimentare tutte le mie passioni e conoscenze tecnologiche. 

Vediamo adesso cosa di inconfessabile c’è dietro questa prefazione autocelebrativa e soprattutto quale è il nesso con il titolo di questo post…

Leggi di più ⇒

 

 

Cosa c’entra la Block Chain con il GDPR?

La prima cosa necessaria da capire per affrontare la questione è che la Block Chain  (BC) non è il Bitcoin!

Si tratta di una metodologia di “hashing ricorsivo” (riassunto all’osso), che è precedente al Bitcoin, anche se alle monete elettroniche si deve la esplosione di notorietà dell’argomento.

GDPR

Essenzialmente la BC, che in Italia giustamente da molti viene associata funzionalmente al “libro mastro” mutuato al mondo della contabilità, permette informaticamente una “Notarizzazione“. Lo so, di per sé non è una bella parola, ma tecnologicamente ci sono parole in informatichese che rendono l’idea e anche il senso di cose complesse in modo essenziale.

Mai come in questi tempi, bisogna semplificare le cose ai Titolari del Trattamento! Diversamente non solo non “scuciono” una lira, ma soprattutto non comprendono loro stessi quali scelte corrette fare per le aziende che devono essere in compliance con il Reg.679/16 (il GDPR della UE).

Sono molte le attività che riguardano un Sistema di Privacy e Protezione dei Dati che possono beneficiare della BC. qui citiamo alcuni esempi basandoci non tanto su un ordine di fattibilità, quanto su un ordine di priorità di adempimenti che i TDT dovranno inevitabilmente considerare.

Primo fra tutti certamente il Registro dei Trattamenti (Art.30). Questo pilastro di un Sistema di Protezione dei Dati (SPD), che in questo contesto diamo per conosciuto, è una evidenza documentale (cartacea e/o elettronica) che comprova (Accountability by Design – Artt. 24 e 25) che dopo una Analisi dei Rischi ed eventuale Valutazione degli impatti Privacy, l’Azienda abbia classificato tutti i trattamenti di dati personali in base alle priorità di rischio cosi da individuare e pianificare un Piano di Adeguamento (misure e investimenti) per raggiungere la compliance di cui sopra.

ScolaroBravo

Purtroppo non è recepito correttamente, ma il Registro dei Trattamenti non è una cosa che si fa una volta! Si tratta di un sistema documentale vivo che deve essere manutenuto e sottoposto a controllo di misure organizzative (Procedure, prassi, registrazioni ecc.) 

 

Ecco dove viene utile un meccanismo di BC. Ogni trattamento definito nel Registro, può cambiare  in qualunque momento. Non solo in sè e per sè, ma anche semplicemente perché, ad esempio, cambia la tecnologia sw o degli apparati, cambiano le esigenze del cliente che in quel Trattamento è coinvolto, o ancora, e più semplicemente, cambia perché il soggetto autorizzato (ricordiamo che gli incaricati non esistono nel nuovo Regolamento) è stato licenziato.

 

Per il monitoraggio continuo dello “status” del Registro è indispensabile comprovare sia il time-stamp che la identità digitale del cambiamento e/o modifica. Solo così il Titolare potrà fronteggiare una eventuale ispezione della Autorità di Controllo (Dal 26 Maggio 2018 non esisterà più il Garante Privacy!)

Un’altro ambito estremamente critico per la coerenza di un SPD riguarda quello della gestione dei Log; anche se nella percezione comune questo sembra essere un problema che riguarda solo gli informatici, così non è.

I log traversano molti adempimenti, alcuni completamente nuovi. E’ questo il caso del Data Breach (Art.33). Non si tratta della installazione di un anti-virus e/o un firewall. Solo chi è rimasto alla medioevale e soporifera filosofia del DPS e delle misure minime, può crederlo.

Si tratta di un sistema completo di gestione per la resilienza continua nei confronti degli incidenti informatici. Anche in questo caso non ci sogniamo di dire oltre e rimandiamo agli altri nostri articoli, ma riallacciamo qui la BC che calza perfettamente.

Se la Azienda usa sistemi IDS/IPS o DLP (oltre alle misure procedurali previste dal Regolamento), tutte le attività di alerta e/o contromisure a difesa dei beni societari (non solo dati personali ma anche di business) devono essere “notarizzate” per poter essere valutate Ex Post dal gruppo di gestione degli incidenti. La BC assiste non solo gli informatici ma anche il Responsabile e il Titolare del Trattamento in caso di incidente informatico grazie alla ricostruzione esatta della time-line di tutti gli eventi monitorati dal sistema.

L’adempimento del “Data breach” prescrive che le Autorità di controllo siano informate tempestivamente ed esaurientemente. Occorre quindi, anche in questo caso, poter comprovare l’esattezza della sequemza degli accadimenti in modo terzo, oggettivo e sicuro… Ecco perchè marcare temporalmente (notarizzare) e in modo identificativo univoco i processi sottoposti a controllo, è l’unico sistema per non venir meno agli obblighi legali.

In sintesi abbiamo fatto due esempi di integrazione tra la block-chain e il GDPR, ma solo a scopo di paradigma potremmo considerare anche :

  1. nomine e designazioni organigramma privacy
  2. validazione censimenti infrastrutture IT
  3. validazione verbali di Piani di formazione
  4. governo proattivo di contromisure legittime su email e navigazione internet
  5. validazioni contrattuali SLA e PLA con Responsabili Esterni/Contitolari
  6. Data Transfer Agreements e accordi vincolanti di azienda 

 

E’ chiaro che non si potrà mai avere una Accountability vera senza una tracciabilità vera.

Chi scrive è perfettamente consapevole che questo articolo è diretto a chi il Regolamento deve aiutare ad applicarlo. Le aziende, sia a livello imprenditoriale che di staff non hanno consapevolezza di questo ordine di complessità!

Che dire, buon lavoro e buona privacy con i nostri webinars nel corso multimediale su youtube!

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

 

 

Salvo Reina

CaimansT22ore - Copia

Sicurezza IoT: e chi se ne frega 4.0!

Non sarà sfuggito agli amici del Blog, informatici, managers, imprenditori, Titolari del Trattamento ma anche folle di Interessati, che dal 2017, tutto ciò che accade è diventato “Qualcosa 4.0″
Nulla di cui scandalizzarsi per chi da decenni segue l’evoluzioni tecnologiche nei processi aziendali. Quello che è singolare che pochi fanno rilevare di come si sia passati dall’era 2.0 a quella 4.0. Dove e quando abbiamo maturato l’epoca del “tutto 3.0“?

L’internet degli oggetti (IoT), o meglio ancora “di ogni oggetto” (IoE) si impossesserà della vita umana che popola il globo. E ‘, e sarà, ovunque: controllo dell’illuminazione, distributori automatici, parcheggi, semafori, telemedicina, sicurezza domestica, bancario, contatori intelligenti, ecc, ecc  Chiedersi quali rischi comporta questo tzunami tecnologico è illusorio perché la maggior parte dei rischi ancora non sono neppure congetturabili.
Altrettanto ridicolo è chiedersi se o meno siamo pronti per un malfunzionamenti, violazioni della Privacy o arresti di sistemi e infrastrutture. La risposta è già conosciuta: assolutamente no!

Siamo disposti ad affrontare un paradigma fantascientifico con cacciaviti e martelli?
In Italia navighiamo nella palude di una “Cyber Ignorance” il cui approccio è quello del “e chi se ne frega?”
A parte le discussioni in circoli e convegni di esperti (o presunti tali), la consapevolezza pubblica semplicemente non esiste.

La ragione di questo è la cattiva abitudine di non studiare pro-attivamente l’evoluzione tecnologica IT mondiale, subendo il vassallaggio dei grandi players HW/SW incombenti  a scapito del terzo mondo tecnologico. A questo si aggiunge che pochi “artigiani dell’ IoT”, per quanto coraggiosi e illuminati, non possono trascinare le coscienze di un popolo e di Istituzioni che prestano attenzione alle “disastri informatici” solo quando visibilmente distruttivi. Quindi, quando sono oramai irrimediabili.

Gli specialisti ICT sanno del famoso caso Stuxnet, quando le agenzie USA/Israele hanno compromesso le apparecchiature nucleari iraniane dello SCADA, incorse poi in avaria. La realtà è che quell’incidente non è l’unico. Ci sono stati molti incidenti che per motivi di controllo della politica geo-tetica, non sono stati resi noti.
Mentre scriviamo, sono già stati comprovati difetti di sicurezza IOT nei prodotti di consumo, come giocattoli per bambini, monitor per bambini, automobili e pacemaker!
Tutti pensiamo al fatto che è giustificabile questa filiera di target perché si tratta di “end consumers”. Magari!

Alla fine di Ottobre 2016, Dyn®, un grande fornitore di infrastrutture Internet, ha subito un attacco DDoS ottenuto sfruttando malware su dispositivi IoT come webcam e stampanti collegate alla rete Dyn.

In sintesi estrema: NESSUNO E’ INDENNE!

Quando vediamo progetti con l’incorporazione di piattaforme proprietarie per IoT, leggiamo opuscoli di marketing e di vendita dicevano tipo

“Il nostro internet degli oggetti è sicuro” 

Parliamo di un fornitore del servizio universale del prodotto praticamente incontrollato e incontrollabile. Eppure, quando si fa un progetto reale si dovrebbero mettere in discussione le dichiarazioni di marketing e comprovare la QA con dovuta diligenza.

Cosa succederebbe se potessi rivolgere queste domande al product manager e al suo team:

  • Può mostrami in che modo i vostri prodotti sono sicuri?
    Come vengono identificati i dispositivi?
    Come vengono autenticati?
    Dove sono memorizzati un ID e/o il relativo certificato?
    ID e certificato sono in una locazione di memoria protetta e sicura del chip?
    Quale autorità rilascia questi certificati?
    Nel caso fossero proprietari, come sono coniati?
    Come posso recuperare dati critici di una sessione?
    Quale algoritmo di crittografia viene utilizzato?
    Il generatore di numeri casuali è probabilistico, deterministico o stocastico?
    Il dispositivo prevede un processo di revoca?

Nessun produttore risponderebbe. Anche peggio, di alcune delle domande sconoscerebbe anche il senso.

Se ripetessi l’esperimento con un Security Architect o un Pre-sales otterrei lo stesso risultato.
Sembra che nell’era dell Industry 4.0, dove tutto è “Open”, tutti, inesorabilmente ripetono lo stesso identico mantra:

il nostro prodotto è sicuro!

Tutti sanno ce le dichiarazioni di marketing sono pura finzione. Nella migliore delle ipotesi  qualche caratteristica di sicurezza del prodotto è effettivamente realizzata: ad esempio hanno utilizzato un collegamento TLS.
Il problema è che l’ IoT deve essere considerato un sistema e non un prodotto sé stante. In molti casi, l’IoT si potrebbe addirittura qualificare come un sistema di sistemi!

In questo scenario, la sicurezza del sistema è forte quanto il suo anello più debole. Come instancabilmente ripetiamo nei nostri seminari: “in una catena di acciaio la resistenza è quella dell’anello di alluminio

La metafora che sfrutto è molto meno aleatoria di quanto sembri, quando pensiamo alla catena : progettazione > implementazione > solution provider > integratore di sistemi >  operatore assemblaggio > venditore > utente finale.

Ogni stakeholder  dell’ IoT, tendono ad una distribuzione disoggetti interessati molto più complessa rispetto ad altri sistemi TIC.

Altra domanda da un milione di Euro:

Chi diventa responsabile della sicurezza?

NESSUNO FINCHE’ NELLA CATENA DI FORNITORI I CLIENTI FINALI NON LA ESIGONO!

Cosa? Perché ai clienti non importa? Non si preoccupano di tutti i rischi aziendali e degli aspetti legati alla privacy? Non inciderebbe sul loro reddito o sulla loro reputazione?

L’abbiamo scritto nel titolo: e chi se ne frega!

Alcune società di consulenza hanno iniziato a promuovere un controllo dello stato di salute dell’internet degli oggetti. Purtroppo, non vi sono ancora molti fornitori di questo servizio, data la diversità e le dimensioni del mercato dell’internet degli oggetti. Inoltre, è improbabile che i consumatori si rivolgano a società di consulenza specializzate.

Le società antivirus hanno iniziato a sviluppare piattaforme di sicurezza per l’internet degli oggetti. Probabilmente ci vorranno 5-10 anni prima che diventino così ampiamente usati come antivirus tradizionali. Il mercato degli antivirus ha richiesto circa 10-15 anni per maturare. Speriamo che il mondo non crolli nel frattempo

Concludo per non annoiare
Anche se la sicurezza e le attività di CyberSec realmente sostenute dalle istituzioni non sono direttamente legate in responsabilità rispetto a quanto scritto sopra, ci sono delle implicazioni pressoché identiche di responsabilità nei confronti delle persone che sono consumatori per il mercato, cittadini per lo stato, pazienti per le strutture sanitarie.
Consapevole di citare un esempio estremo, e tuttavia concretamente recepito dalle popolazioni mondiali, pensiamo alla NSA che ha creato il virus WannaCry, causando devastazione alle aziende normali e cittadini.
Ulteriori domande nascono ineludibili: ma nella guerra Cyber, dove si trova il fronte? Chi sono i nemici?

Ad oggi IoT 4.0 è possibile solo se artigianale
Ciò che sembra paradossale dovrà essere abbracciato come un paradigma. L’unico futuro possibile per un IoT “umano” sarà quello artigianale. Peraltro, la rivoluzione europea sulla protezione dei dati, nota con l’acronimo GDPR, rende mandatorio per i costruttori (di ogni ordine e dimensione), progettare la sicurezza sin dalla concezione del prodotto sviluppando intelligenza euristica di sw che formalizza la così detta “protezione per impostazione predefinita” (Art. 25 Reg.679/16 – GDPR/16/EU)

Chi scrive ha fatto una scelta di campo e crede che nel mondo IoT, una rivoluzione sia possibile se parte dal basso. Ho quindi scelto una piccola azienda di Genova dove gli IoT si pensano, si disegnano, si progettano e si fanno!

Esatto, si fanno. Cosi come un ebanista fa un tavolino, un artista fa la scultura, un panettiere fa il pane. A costoro importa, importa molto!

Per Qxperts Srl – Dr Salvo Reina

Bollettino medico italiano Cyber Health: solo malesseri stagionali

Ospedali e sanità: disservizi all’ordine del giorno. Non virus piuttosto guasti e l’obsolescenza. Incognita delle macchine diagnostiche. Viaggio nella cybersicurezza delle strutture sanitarie italiane

 

Sanità italiana la cybersicurezza è ancora un patchwork raffazzonato, composto da interventi stratificati, coperture a macchia di leopardo e aree quali i macchinari biomedicali in cui, non si sa bene come e quanto intervenire. Una realtà che sta cercando velocemente di adeguarsi alla crescita improvvisa di attacchi informatici in generale, e in particolare contro le strutture sanitarie. Le quali, dal loro canto, sono sempre più digitalizzate e quindi esposte a possibili minacce.

Intrusione amicale: ad avercela!
È chiaro che l’aumento delle informazioni registrate nei sistemi informatici sta rendendo più appetibili i dati sanitari. Anche per questo sarebbe utile avere più strumenti, ad esempio un ente terzo che provasse a bucarci, cioè a testare le nostre difese.

Lo spettro del guasto informatico
In Italia non abbiamo vicende eclatanti come in Gran Bretagna con Wannacry ; la nostra sanità è comunque costellata da piccoli disservizi informatici. Emergono solo quando vanno in tilt pronto soccorso e accettazioni, quando le ambulanze sono mandate altrove e le prenotazioni non funzionano.
E’ sempre difficile capire cosa sia successo. Dettagli sono pochi, nebulosi e tutto ricade nella categoria universale e antica del “guasto informatico”.
In Italia nessuno sembra raccogliere o avere questi dati o statistiche certe. Il primo gruppo di studio a livello nazionale per la costruzione di un sistema di sicurezza dei dati informatici nei servizi sanitari, coordinato dall’Istituto Superiore di Sanità (Iss), è nato solo in Marzo 2018. In sintesi si procede per aneddoti ed episodi.

Italica coincidenza: Maggio 2017 i giorni della epidemia Wannacry
Strutture sanitarie di tutta Europa hanno dichiarato perdite di dati, e pagato per ripristino servizi.
In Italia registrati ufficialmente riportati molti sporadici problemi informatici negli ospedali italiani. Alcuni portavoce ufficiali di Ospedali hanno parlato di una coincidenza! Più che il Malware, in Italia sembra avere la meglio il guasto; il server che si rompe; il blackout.

Pronto soccorso, ospedale di Arzignano, Vicenza.
Prime cure d’emergenza, computer gestiscono i dati dei pazienti e le richieste di esami. In crisi anche il pronto soccorso.

Metà marzo 2018, blocco del sistema informatico dell’Asst Valle Camonica
Alcuni giorni vari disservizi agli ospedali di Esine e di Edolo (provincia di Brescia). Prenotazioni e referti.

Febbraio 2018 Osp. Galliera, Genova.
Non meglio precisato guasto al sistema informatico che gestisce gli accessi dell’ospedale Galliera, Genova, ha creato disagi, rallentando pronto soccorso con dirottamento ambulanze in altre strutture.

Febbraio 2018 Osp. Santissima Annunziata di Savigliano (Piemonte)
Problema causato da un attacco informatico, un virus individuato in un’applicazione del Centro trasfusionale e di averlo circoscritto senza perdite di dati o pericolo per gli stessi.

Febbraio 2018 Osp. di Novara
Registrati guasti, code e ritorno alla carta per alcune ore.

Febbraio 2018 Osp.li Torino, Martini, Maria Vittoria e San Giovanni Bosco
Uno o due giorni rallentamento registrazioni amministrative degli utenti causate da un non meglio definito guasto informatico; forse, derivato dalle attività di unificazione delle procedure delle aziende sanitarie.

Dicembre 2017 blocco server Insiel (Ict in-house) regione Friuli Venezia Giulia
Ripercussioni sul sistema informatico delle strutture ospedaliere, sanitarie e perfino sui medici di medicina generale. Personale ricorso a carta e penna.

Il 17 maggio 2017, in piena fase Wannacry, va in tilt il punto prelievo hub OSp. Rovigo.
Un guasto tecnico informatico, comunicherà poi una nota della Ulss 5 Polesana

13 maggio all’ospedale di San Bonifacio (Verona),
Il pronto soccorso, il laboratorio di analisi, cardiologia e radiologia colpiti da una serie di disservizi, con il blocco delle accettazioni, rallentamenti e disguidi dovuti «alla necessità di sostituire l’attività informatica con una modalità cartacea». La causa è un blocco dei sistemi informatici. “No Wannacry», riferisce comunicazione Ulss 20 Verona. Problema di server, per accorpamento tre aziende sanitarie in una“.

17 maggio, disagi presidi sanitari province di Siena e Grosseto,
Al policlinico Santa Maria alle Scotte, ai punti prelievo dell’AOU senese, degli ospedali e di tutti i presidi territoriali della provincia di Siena. La causa sono forti rallentamenti nella procedura informatica che gestisce prenotazioni, accettazioni e pagamenti per un guasto a un componente del server. “… problema di malfunzionamento di un software in comune con l’azienda sanitaria“, commento di Infrastrutture Sud Est di Estar, l’ente di supporto tecnico-amministrativo regionale della Toscana.

Non solo virus, ma obsolescenza e incompatibilità

Fine Cennaio 2018, a Foligno, all’ospedale San Giovanni Battista
Per una sera è andato in crisi il sistema informatico, con difficoltà per il personale sanitario. «È stato un guasto elettrico nel nostro centro elaborazione dati”, comenta dirigente del servizio informatico Usl Umbria 2. “… scattato un interruttore che non doveva saltare, si sono spenti i server, si è bruciato qualche componente e siamo ripartiti. Non abbiamo avuto perdite di dati, inoltre è successo di notte. Ma ora stiamo rafforzando la parte elettrica per avere più ridondanza”.
Il problema della sicurezza informatica è molto sentita da noi anche per la delicatezza dei dati che trattiamo», prosegue. «Ma è un settore che richiede ingenti investimenti e tempi rapidi, mentre i tempi di approvvigionamento della Pubblica amministrazione non sono velocissimi. In generale le risorse sono meno delle esigenze crescenti».

Agosto 2017 Osp. San Martino, Genova
Per diverse ore, un guasto al sistema informatico dell’ospedale San Martino ha causato disagi nella gestione di accettazioni, ricoveri e dimissioni; e il personale è tornato a compilare a mano moduli e referti. «È stato un guasto del server per obsolescenza tecnica ma ci siamo mossi subito», commenta direttore sistemi informativi e ingegneria clinica all’azienda ospedaliera universitaria San Martino di Genova. “C’è un tema più generale della mancanza di fondi rispetto alle necessità, per cui a volte bisogna tenersi due anni di più sistemi vecchi che per loro stessa natura non sono aggiornati. Noi ci siamo mossi in anticipo e 5-6 anni fa abbiamo fatto una gara europea per cambiare tutte le macchine periferiche (tranne i server), in modo da avere un parco omogeneo di dispositivi. E questo ha alzato l’asticella di sicurezza dell’ospedale; ad esempio non abbiamo avuto problemi di ransomware. Prima infatti tutti i computer aziendali erano diversi e il processo di manutenzione era poco efficiente. Inoltre prima ognuno poteva installarsi il software che voleva, ora abbiamo chiuso tutte le porte, le porticine e i portoni. Spesso Il problema non sono solo i guasti dell’hardware. Molti blocchi nel funzionamento in realtà nascono da conflitti di software, e da errori di configurazione”.

Candida posizione di Claudio Telmon, direttivo Clusit
“I sistemi informativi della sanità, sia pubblica che privata, sono sistemi complessi che si sono stratificati nel tempo, con situazioni difficili da sanare. E anche se la situazione sta migliorando, negli anni c’è stato poca attenzione su questo aspetto da parte delle strutture sanitarie. Molti incidenti, notano gli analisti dell’azienda, si sono verificati perché spesso le aziende sanitarie non sono in linea con le migliori pratiche di sicurezza e non pongono rimedio alle vulnerabilità note nel software medicale.”

Il rischio biomedicale? La sindrome da Silos
Come gestire le macchine biomedicali, che fanno esami, raggi, analisi?
La cybersicurezza in sanità è ancora affrontata in modo settoriale.  I macchinari diagnostici, gestiti dall’ingegneria clinica: tac, risonanze, ecografi, apparecchi elettromedicali negli ultimi anni si sono evoluti in sistemi informativi che memorizzano i dati clinici dei pazienti, che si collegano alla rete aziendale, ma che rischiano di avere un livello di protezione più basso. E spesso fanno capo a responsabili diversi rispetto a chi protegge i sistemi dell’ospedale.
Problema simile quello emerso con l’industria 4.0. I Sistemi di fabbrica isolati che a un certo punto si ritrovano in rete senza adeguate misure di sicurezza; il produttore non è mai stato messo sotto pressione per evoluzione», aggiunge.
Poche aziende a livello mondiale, per cui è anche difficile per una struttura sanitaria rimettere in discussione una fornitura sulla base di un aspetto (la cybersicurezza) ritenuto marginale.

La vera battaglia è quindi quella della contrattualità di PLA e dei problemi di budget, sostituzione di macchine e di server, funzionamento dei data center, unificazioni di procedure, software e applicativi diversi. E quando scatta l’emergenza, si ricorre alla vecchia carta.

Aggiungiamo alla fine, soprattutto il paziente non sa mai di chi è la colpa anche quando tutte le responsabilità formali sono assegnate in organigramma.

SR

Quotato dall’Autrice dell’articolo originale

La gestione dei sistemi informativi degli ospedali e quella dell’ingegneria clinica sono ancora mondi separati, che fino a poco tempo fa si ignoravano cordialmente” commenta Padrone (San Martino, di Genova). “… una Tac non è più solo hardware come una volta, ma anche software. Tutte le tecnologie biomedicali si stanno informatizzando, e c’è l’esigenza di collegarle in rete, per cui diventano delle porte. E anche quando non sono collegate, sono infarcite di software, e quindi potenzialmente possono avere dei bachi. Infatti non a caso negli ultimi anni gli avvisi di sicurezza di tipo informatico inviati dai produttori di queste macchine sono aumentati; prima erano quasi nulli“.

Riferimenti e fonti primarie:  le informazioni riportate in estratto sono derivate dall’articolo di Carola Frediani da “La Stampa” sotto Creative Commons con alcuni diritti riservati:  GNN — GEDI Gruppo Editoriale S.p.A. – P.Iva 00906801006 — Società soggetta all’attività di direzione e coordinamento di CIR SpA

 

La sicurezza e-mail: aziende e organizzazioni e-Health non comprendono il danno per i pazienti

Ottenere la sicurezza e-mail end-to-end senza impatto sulla routine dell’utente è per alcuni settori pura mitologia. Pensiamo ad esempio all’assistenza sanitaria e i servizi finanziari, la privacy e i dati dei consumatori. La sicurezza è diventata una priorità  assoluta per la maggior parte dei reparti ICT e i regolamenti e le sanzioni per non conformità sembrano onerosi ma sono nulla rispetto alla perdita di fiducia da parte dei clienti/pazienti quando si verifica una violazione della sicurezza.

L’e-mail è il modo in cui le organizzazioni comunicano de facto soprattutto al di fuori dei loro firewall. Se non adeguatamente protetto, il server e-mail può essere uno dei più vulnerabili sistemi nell’infrastruttura di un’azienda. La sfida consiste nell’implementare un sistema di posta elettronica sicuro che è conforme a tutte le normative oltre che integrabile con i sistemi aziendali già esistenti.

La crittografia e-mail tradizionale è inadeguata
La maggior parte degli approcci di crittografia e-mail tradizionali deve basarsi su più  metodi di recapito, che consentono di nelle lacune in materia di sicurezza dovute alla separazione dei messaggi. S/MIME e PGP PKI di eredità sono complessi per ESSO e incompatibile con Gmail, Yahoo e Android. La chiave simmetrica proprietaria richiede una configurazione complessa chiave di gestione del database, e può anche portare alla perdita di dati se una chiave è danneggiata. Proprietario i navigatori della posta elettronica dalla confusione dell’utente finale con più caselle di posta, link bloccati o scaduti, e nessun accesso ai contatti.
Come dovrebbe funzionare una infrastruttura doi Posta Elettronica
La nuova soluzione e-mail deve essere crittografata end-to-end già disponibile per il desktop a livello di interfaccia utente; quindi ci riferiamo ad un qualunque client ma anche interfaccia cloud indipendentemente che sia Web o mobile. Un altro aspetto è la scalabilità a milioni di utenti, pur mantenendo una gestione trasparente e integra del così detto  “Personalmente Identificabile Informazioni (PII) e Informazioni sulla salute personale (PHI) sicuro e privato.

Solo questo livello di sicurezza la comunicazione via e-mail dà fiducia alle organizzazioni nella transizione dalla carta all’elettronica comunicazione. Grazie ad una soluzione unica per desktop, cloud e mobile la decrittografia su desktop, Web e mobile, da parte di utenti interni ed esterni lo strato di logica delle applicazioni del futuro potranno effettuare la scansione e l’analisi di filtraggio di tutte le e-mail in entrata e in uscita.

Evidentemente la visione della Protezione dei Dati (PII o PHI) deve essere incentrata sia sui dati del corpo della e-mail che sugli allegati come un unico contenuto crittografato; infatti, in caso di violazione della sicurezza, il contenuto crittografato non abbia alcun valore per l’attaccante.

ALter sito secondo GDPR europeo
Gli allegati vanno memorizzati su server interni, non su server esterni di terze parti.
Gestione delle chiavi apolide: il sistema di gestione delle chiavi alla base di questo sistema è probabilmente il fattore più importante che governa le prestazioni e la qualità dell’esperienza di un sicuro sistema di posta elettronica. Utilizzando la crittografia basata su algoritmi standard ma gestione di chiavi proprietarie, i messaggi sono sicuri ed è possibile inviare una comunicazione a qualsiasi destinatario, senza richiedere prima al destinatario di intraprendere azioni speciali. Nuove interfacce di piattaforme libere (Open Source) possono permettere  alla organizzazione di implementare sistemi in cui non ci sono chiavi da gestire o archiviare, conciliando gli applicativi on-line che richiedono  un’amministrazione ICT minima. Chiaramente il discorso è scalabile per grandi organizzazioni dove l’infrastruttura deve operare su scala globale.

Attento ! Non toccare

Perchè il “fingerprint” e i dispositivi che lo usano sia critico ai fini della privacy è scontato, meno evidente di come questo abbia a che fare con il BigData e la rivoluzione della IoT (Internet delle Cose).

fingerprintTutti ormai da mesi scriviamo di come sarà invasiva l’adozione di frigoriferi che comunicano con lavatrici e portachiavi perchè, abbiamo ormai capito, che dietro c’è un gioco perverso per il quale non i dati personali e sensibili, ma anche le “meta-informazioni” raccolte in ordine temporale singolarmente innoque, posso condurre ad un profilo di identificazione che ci da’ comunque dati e costumi della persona più che sensibili !

In questo contesto il “fingerprint” ha un ulteriore preoccupazione. Nell’immaginario pensiamo al cerchietto illuminato sul quale dobbiamo poggiare il dito e attendere il responso. Se siamo in banca che si apra la porta scorrevole per accedere, se siamo in ufficio per apporre una firma ad un documento, ecc.

Ma chi l’ha detto che sia sempre cosi evidente? Nel mio elettrodomestico domotico anche l’interruttore o un qualunque punto della superficie potrebbe rilevare la mia identità e a quel punto la mia presenza la conosce anche il mio iPhone che sta preparando la doccia calda in bagno e accende il microwave con lo stufato messo li’ la mattina quando si è usciti di corsa.

Molto bello, ma è chiaro cosa implica queste scenetta?

Meglio riflettere che farsi spiegare…

 

Intanto il gruppo dell’Articolo 29 ha emanato un vademecum di come dovrà essere concepita la privacy by design dei dispositivi e quella by default per il software che gestiranno i dati da fingerprint

http://www.salvoreina.it/miascienza/privacy-article-29-wp-fingerprint.html

SR

Signori siamo seri. Eludere la Guardia di Finanza è banale !

Una volta c’erano i floppy disk e chi voleva occultare i propri dati, doveva risolvere il problema fisico del disco. Si dirà oggi è lo stesso solo che i supporti si chiamano penne USB e possono contenere un intero sistema operativo.

floppy

Rispondo, infatti chi oggi nasconde le proprie cose non se le porta dietro in un supporto USB. Ovvio, può farlo,ma è come una persona nella tasca del portafoglio del bancomat tiene anche il PIN.
Quindi il punto non è dove mette le proprie fatture e i conti in nero quanto in quale formato e come li legge. Per escludere ipocrisie nel resto dell’articolo, diremo che il problema di fondo era proprio quello di come “la Legge legge i nostri contenuti”. Nella accezione del titolo di questo scritto, ci riferiamo alla Guardia di Finanza.

Come d’abitudine su queste colonne seguiamo uno stile pratico senza fronzoli accademici, quindi di seguito raccontiamo una storia immaginifica e, come nei migliori film di spionaggio diremo, “ogni riferimento a persone e cose degli avvenimenti qui riportati è del tutto casuale e fantasiosa”. Chi comprende bene.

Quando negli anni 90 un medico e/o un avvocato si rivolgeva a me per risolvere il problema eterno di mettere dati confidenziali dentro un computer e di conservare copie sicure di questi, il mio approccio creava imbarazzo e dubbio.

Generalmente, tutti gli smanettoni e/o hacker e/o ingegneri informatici raccontavano di nuove tecniche di cifratura digitale  mirate a oscurare e/o mascherare i files; sostanzialmente si rendevano “Neri i files del Nero”. Io ho sempre criticato l’approccio Bianco, Grigio e Nero prediligendo quello “trasparente”.

Ciò che segue è in presente storico, più o meno adiacente, con quello che accaddeva e che ancora oggi risulta vincente. Cambiate le tecnologie, gli strumenti, i protocolli, le infrastrutture trasmissive ma l’uomo e sempre più le donne, sono rimasti l’anello debole della evoluzione.

La logica “trasparente”
Come abbiamo già riportato in un nostro articolo su OmniaCloud, se un informatico intelligente, seppure esperto di criptologia e cifratura (le due cose cono distinte), vuole nascondere/oscurare/offuscare o qualunque altro sia lo scopo non rendere intelleggibile i contenuti, non ricorrerà alla filosofia del Nero.

trasparenteInnanzitutto se davvero immaginiamo un finanziere che vede un disco rigido e/o un floppy o più di recente una pennetta USB con un grosso buco nero (sia esso un shift reading, un settore, una replica di FAT e/o un MFT, o anche un tutto vuoto), la prima cosa che fa è quella di intimare di fornire la password e/o la chiave di lettura del supporto e/o del file e/o del settore MBR. Questa evenienza è talmente provinciale e beota (popolazione di pastori della Beozia con incidenza di demenza ambientale da metalli pesanti nelle acque), da non meritare commento.

Chiarito che non ha senso mascherare l’intero hard-disk e o volume, analoghe considerazioni si applicano alle cartelle e/o folders. Queste sono presenti in tutti i sistemi operativi che abbiano una GUI, ma anche nei Linux essenziali senza shell grafica, comunque ci sono le ataviche e ancestrali directories. Per questi volumi l’occultamente è primo di senzo perchè nessuna utility e/o protocollo di sistema permette di rimuovere gli entry point nelle tabelle di allocazione e contenuto del HTFS/NTFS (ma questo è vero per qualunque altro sistema operativo).

Arriviamo inevitabilmente e inesorabilmente al punto : i files.
Solo a questo livello è congetturabile una forma di manipolazione del dato che si intende nascondere. Questa ultima asserzione ci permette di spiegare la prima delle criticità risolte dalla logica “trasparente”; perchè nascondere?

Riflettendo, il vero scopo è quello di non rendere intelleggibile il significato dei contenuti. Detto in questo modo, la prima illusione di potenza ci riporterebbe alla cifratura! Ma abbiamo detto che se un finanziere (o come più di recente accade un perito forensic), si rende conto che il contenuto in chiaro non ha senso, dopo una scanzione di pochi secondi avrà identificato la mappa delle traslocazioni di un migliaio di algoritmi di cifratura. Dopo averli riconosciuti non farà nulla altro che sottoporre il file al brute-force e/o scanner semantico dei kit in commercio. Peraltro, un simile procedimento è utilizzabile per le tecniche di cancellazione controllata. Ci sono undeleters in grado di sfruttare strati magnetici diversi dei media di storage, ma questi sono rilevati da scanners stratigrafici bit-a-bit e poi questa tecnica è plausibile in un disco rigido, ma pericolosissima su media rimovibili perchè il dato può essere non ricostruibile anche per chi lo ha nascosto.

Ma allora come faccio a nascondere i miei files di nero se non posso nascondere i files ?
Seconda riflessione… In realtà non si vuole nascondere un file, piuttosto dei contenuti !

Vebiamo al punto della “trasparenza” con un esempio pratico, e praticato sul campo. Il primo punto vincolante è l’origine dei dati. Se abbiamo un avvocato dovremo trattare documenti testuali e a meno di qualche “eccentrico” appassionato che usa un wordprocessor proprietario, avremo i classici file di Word o di una sua variante open source (Smart Office, Open Office ecc). Statisticamente il caso di un medico è più interessante perchè troviamo anche l’uso dei fogli di calcolo dove le segretarie hanno messo in colonne ordinate i conti che non sono registrati nel software di faturazione. I medici erano  notevoli perchè spesso trattavano anche file di banche dati portabili  con dati delle visite e dati anamnestici e clinici. Storicamente si trovavano i classici DBIII, Clipper, MS Access; qualcuno più originale usava Paradox e FileMaker perchè medici e architetti si sono sempre distinti con gli Apple. Comunque la si metta, dati in files sensibili che non dovevano cadere in mani nemiche.

In accordo all’approccio “trasparente” i dati venivano in primis scramblati anche in modo blando come per esempio un compressore qualunque (ZIP, ARC, LHR,  ecc). Questo indispensabile passo era necessario per evitare che con un semplice DUMP di memoria di un viewer di sistema, si potesse riconosce in chiaro i caratteri ASCII e, nel caso dei db, la metrica (anche solo approssimativa) del tracciato record ad accesso diretto. Cosi facendo,  si otteneva anche un secondo benefico effetot. La dimensione del file si riduceva notevolmente.

stegoaA questo punto non rimaneva che usare un approccio steganografico, ossia non si marcava come invisibile il file, non si cancellava, e non si blindava con una password in chiave di cifratura, ma si trovava un file contenitore più grande nel quale inoculare (diluire) uno o più blocchi del file da secretare.

Ciò che a questo punto bisognava fare, ha poco di informatico e molto di stupido. Selezionare un filmato AVI o una immagine BMP o un gioco EXE tipo PacMan. Bastava infine incollare  opportunamente (binariamente) il nostro file segreto al film, alla immagine o al giochino ed era fatta ! Nella economia di queste righe è di scarsa importanza spiegare cosa si intende per “opportunamente”, basti sapere che quando il finanziere (o chi per lui), guardando il contenuto del disco (rigido o rimovibile) il pac-man partiva, la fotografia della famiglia si visualizzava sullo schermo e il video delle vacanze aveva anche il sonoro.

Cosi siamo andati avanti per decenni, oggi tutto questo non ha senso, ma la logica del “contenuto trasparente” è ancora la migliore e anche la più conveniente. Ciò che prima accadeva in un floppy, poi sugli HD e quindi nelle pennette USB, ora non occorre più.

Non serve più neppure portarsi dietro nulla (quindi nn esiste più il reato in flagranza), basta parcheggiare su un social, su un CC storage remoto, o su un area privata del proprio web non indicizzato e i contenuti di fatto non esistono più neppure ad un controllo.

Come è possibile confutare dei contenuti in files la cui esistenza non è tracciabile. Si aggiunga che oggi è possibile entrare in un internet cafè col mio portatile, mettere una penna USB con un LiveOS, effettuare una connessione DHCP con IP transitorio via WiFi senza che della mia transazione. Posso usare processi in memoria senza scrivere sul disco. una SandBox temporanea e/o addirittura una macchina virtuale il cui snapshot posso cancellare alla fine dei miei scopi.

 

 

 

 

Anche io apostata del backup : DR virtualisation

Sappiamo tutti che facciamo i backup perché “ci tocca !”. In genere, la postura verso di un sistemista le misure di Disaster Recovery è in genere quasi ideologica e religiosa. Ciò che enfatizziamo in questo articolo è la diffusione della “virtualizzazione” come tecnologia che spinge anche i sistemisti più ostinati e recalcitranti, a cambiare religione e abitudini fossilizzate.

Nell’ICT un dato originale può essere accidentalmente eliminato o modificato, esistono le possibilità di un guasto del sistema ma anche un crash del disco sul dispositivo di un utente a un data center che ultimamente in Italia può essere “alluvionato”.

Quando si verifica un evento indesiderato che si riteneva cosi remoto da non essere prevedibile, il DS non riguarda solo i dati da ripristinare, ma l’intero ambiente di lavoro. Il ripristino di emergenza è tipicamente un fatto di Sistema nella sua accezione più larga.apostata

Backup e disaster recovery sono termini non direttamente intercambiabili anche se esiste una direzionalità :  il ripristino di emergenza non è possibile senza il backup.

Il crescente utilizzo di virtualizzazione ha cambiato il modo di ripristino di emergenza viene effettuata perché, in un mondo virtuale, un sistema può essere recuperato duplicando immagini di macchine virtuali (VM) e ricreare altrove.

Per capire la replica di una VM finalizzata al disaster recovery e il modo in cui il mercato si è adeguato alla virtualizzazione partiamo da una analisi di confronto.

Ai vecchi tempi, se un server andava giù, probabilmente le cose andavano cosi :

Passo 1 : ottenere un nuovo server. La speranza di avere un “ferro” di ricambio a portata di mano e non un modello “out-of-date”
Passo 2 :  Installare tutto il software di sistema e delle applicazioni, cercando di ottenere tutte le impostazioni come erano prima, a meno che naturalmente si fosse fatto in anticipo (uno o due server ridondanti in stand-by), però sappiamo di riferirci ad una misura molto poco diffusa. In genere uno “stand-by a caldo”, viene adottato per una applicazione e non a livello di sistema per via dei costi di proprietà di applicazione, con tutti i costi hardware e software pagati due volte.
Passo 3 : Ripristino operativo del backup più recente dei dati, per un database che potrebbe essere quasi fino ad oggi, ma per un file server, un backup notturno può essere tutto ciò che è disponibile, soltanto fino all’ultimo giorno lavorativo. Tutto ciò che era in memoria al momento del black-out è probabile ovviamente  perso. In pratica si arriva a coprire un piano di backup in ragione del punto di ripristino (RPO), sempre che fosse stato pianificato.

La nuova profezia
La virtualizzazione cambia tutto e aumenta il numero di opzioni. In primo luogo, sui dati possono essere facilmente eseguiti  backups come parte di un’immagine di una data macchina virtuale (VM); con ciò implicando  software applicativo, dati locali, impostazioni e memoria RAM al tempo della interruzione. Secondo, non vi è alcuna necessità di un server fisico di ricostruzione perchè la VM può essere ricreata (o semplicemente propagata) in qualsiasi altro ambiente virtuale compatibile. Inoltre questo può essere fatto sia con risorsa di spazio disco in-house o acquisito da un fornitore di servizi di cloud di terze parti. Evidente che la maggior parte dei costi dei sistemi ridondanti scompaiono.

Per ciò che attiene il ripristino di emergenza diventa più conveniente, più veloce, più facile e più completo. I cosiddetti “obiettivi di backup” in termini di recupero più veloce (RTO) sono più realistici da raggiungere.

Ovviamente, come in tutte le cose, questa è la teoria, che si può complicare e sofisticare quando esiste la necessità di coordinare le diverse macchine virtuali che si basano una sull’altra (ad esempio un’applicazione VM e un database VM),  per cui testare il recupero è fondamentale per prevenire problemi ai sistemi di tipo “live”.

Il terzo livello
Con la virtualizzazione applicata al DR, si dispone di una serie di approcci differenti:

1) livello di hypervisor integrato
2) replica VM
3) DR come servizio (DRaaS)

I principali fornitori di piattaforme di virtualizzazione – tra cui VMware, Microsoft Hyper-V e Citrix Xen – offrono diversi livelli di servizi di replica VM insiti nei loro prodotti. Essi sono strettamente integrati nell’hypervisor stesso e quindi limitati ad un determinato ambiente virtuale. Tuttavia, questo non sempre le ottenere le prestazioni sui tempi sono quelle richieste dalla protezione continua dei dati (CDP). In proposito esistono tecnologie e soluzioni come  la VM “ombra”e gli standbys caldi di VM che perlomeno riducono igli aspetti dei costi RPO e RTO.

Esistono poi altri prodotti integrabili come VM repliche a livello di hypervisor come “RecoverPoint”; ad esempio EMC, che supporta la replica e il recupero di più VM coordinata, in modo che possa garantire che una VM in esecuzione un programma sia coerente con un database associato VM.  Quest’ultima comunque è solo disponibile per VMware, mentre su Hyper-V si ricorre alla gestione di un “cloud stack” tipo OpenStack che sempre di più è spinto dalla filosofia Open.

Per completezza possiamo citare Zerto, che sostiene di aver costruito una migliore automazione e orchestrazione rispetto ai fornitori di piattaforme di virtualizzazione, e di aver ridotto ulteriormente l’impatto sull’ambiente di runtime. Zerto supporta attualmente solo VMware, ma ha in programma di estendere il supporto per Hyper-V e Amazon Web Services (AWS), quindi  in futuroavremo un “failover” da un sistema in-house VMware, e AWS in un altro “non-VMware”. Il prodotto può essere utilizzato anche per la pre-programmazione della migrazione dei carichi di lavoro. Questo è particolarmente gradito dai piccoli che fanno attenzione agli investimenti di “ferro”

Esistono infine, altri strumenti “virtuali-aware” che lavorano prendendo istantanee (snapshot) di macchine virtuali per periodi fissati mettendo in pausa la macchina virtuale per un tempo sufficiente per copiare i suoi dati, le impostazioni e la memoria prima di tornare al suo stato precedente.
E’ chiaro che lo snapshot cosi ottenuto può essere utilizzato per ricreare la macchina virtuale più e più volte ma la RPO dipende da quanto spesso vengono prese le istantanee (che potrebbe essere abbastanza spesso per essere vicino a CDP). In merito alla RTO dipende da quanto rapidamente può essere ottenuto l’accesso ad una risorsa virtuale alternativa. In effetti a seconda delle struttura di business e le necessità funzionali, con una giusta preparazione, i tempi di “transfert” dovrebbe essere pressocchè immediati.

Un certo numero di nuovi fornitori specializzati in ambiente virtuale di backup, come Veeam (Svizzera), hanno lanciato un prodotto nel 2008 e che supporta VMware e Microsoft Hyper-V.
Nel caso di Nakivo (fondata nel 2012) che supporta solo VMware, questi prodotti sono stati costruiti per un mondo virtuale, hanno molti degli adattamenti richiesti incorporati nativamente, ad esempio la creazione di VM snapshot e l’accelerazione di rete per la replica off-site che sono piuttosto efficienti.

I fornitori di backup tradizionali hanno adattato i loro prodotti,  come ad esempio Symantec che ha appena rilasciato Backup Exec 2014, dichiarano  capacità e prestazioni confrontabili alle ultime tecnologie. Dell sostiene che le sue prestazioni cono confrontabili con AppAssure CDP grazie ad un “agente intelligente” che evita il congelamento della VM e prende un’istantanea almeno una volta ogni cinque minuti.

In ultimo, e per completezza del quadro, citiamo Simplana di CommVault e Arcserve che hanno abbracciato la crescente sfida nel mondo del DR.

Ricordiamo che un punto di forza per i fornitori “tradizionali” è la loro capacità di supportare anche ambienti fisici “legacy” oltre ai virtuali, e questo è una situazione che resta vincolante in molte organizzazioni. Significa, inoltre, i loro prodotti sono spesso utilizzati per la migrazione, cioè, per il backup di un server fisico e ripristino come una VM.

Molti fornitori di servizi di infrastrutture di cloud, ad esempio Rackspace e Amazon offrono la replica di VM, consentendo ai clienti di mettere il proprio failover in atto, ma in generale questo è limitato alle proprie piattaforme.

Articolo correlato Disaster recovery as a service (DRaaS)

SR

Image14542 - Copia

 

 

Dallo stesso autore su rubrica Omnia Cloud

Password : unica frontiera nel cyberspace unico bastione per il Data Breach !

Come è mortificante capire dal sito https://haveibeenpwned.com/ ognuno di noi, già da anni, ha una email la cui password è stata venduta insieme ad altri miliardi di indirizzi.

Io personalmente l’ho fatto con la mia vecchia reina@village.it, un indirizzo storico con il quale ho lavorato, giocato, e trattato della mia sfera privata.

Ciò che disturba non è il capire che la Password è conosciuta da altri, quanto il redersi conto che a fallire nella sicurezza ed essere “sforacchiati” sono i networks più blasonati.

stegoaChi scrive non ha mai avuto un account su Facebook, Twitter o simili, al contrario ho sempre adottato una postura accorda, talvolta paranoica sull’uso della rete, eppure…

Veniamo al punto dell’articolo.
Quali che siano le misure tecnologiche di difesa, se la Password non ha requisiti intelligenti di robustezza, tutto il resto è inutile !

Nell’era dei furti di identità, utilizzare credenziali compromesse vendute on-line è molto meno dispendioso che architettare Social Engineering, Malware o Exploits.
Perchè sbattersi? Da almeno due anni è questo che succede!

Come ci dire Verizon il 63%  dei Data Breach (solo quello documentati!) è stato possibile con attacchi sistematici a Passwords deboli, default o rubate.

Si tratta di una situazione cosi vasta e diffusa che ormai non si può neppure distinguere una password effettivamente “cracked” o exfiltrata da uno dei molti repertori “pescati” da internet.

Un attaccante sfrutta questa enorme quantità di DBs di emails, username e password con tecniche di Leverage Automation contro i centinaia di maggiori siti web conosciuti.
Addirittura, se una persona ha usato stesso Username o password su più siti, l’hacker può bucare cross-matching multipli e riuscire a prendere il controllo su più siti apparentemente neppure relati.

Senza andare distanti, proprio quello che è successo lo scorso Giugno (Krebs) quando un attacco su Tumbler ha permesso di usare automaticamente una “password confirmation” su credenziali di Dropbox ricavandone millioni di passwords belle e pronte.

Quando racconto questo ai clienti mi chiedono, ma che cavolo è una “password confirmation ?” e in più automatica?

Ci sono decine di prodotti gratuiti e sulla rete che fanno questa operazione (Es.  SentryMBA).
Come prevedibile i clienti incalzano : “Ma i siti mica sono scemi, hanno delle protezioni !!!”

Peccato rispondo io che quelli che attaccano non sono scemi neppure loro, e addirittura, esistono prodotti che usando l’ ICR scavalcano anche i CAPTCHAs.

fingerprintIn pratica, ci si compra un milione di pws a circa 50$, poi si va su iOne.club per scegliere lo strumento preferito per testarle. Attenzione, si paga un centesimo per ogni pwd che funziona e “nulla” per quelle che non funzionano!

Rassegnamoci, quale che sia la pw che usiamo è verosimile che sia già li fuori e qualcuno le conosce già e può con successo fare un Guessing visto che quando anche la cambiassimo saremo prevedibili. E’ successo anche a Zuckerberg (123456789 o Dadada).
Anche dovessimo cercare una pw di quelle complicate e difficili da ricordare, è solo questione di tempo fino al momento di un SQL Injection che aggredisce uno dei servizi web che usiamo.

Un plausibile metodo di tutela è la doppia credenziale on the fly come quelle che si usano nel banking-online, ma è chiaro che molto presto tutto verrà sostituito dalla biometria…

 

 

 

 

 

 

Sabbia negli occhi : per il cliente privacy è meglio la intelligenza o la deontologia?

Image12 - C565opiaL’occasione sempre ben accolta nelle colonne dei nostri editoriali è quella di chiarire come l’ambito privacy ponga continuamente problemi non di ordine tecnologico piuttosto di ordine professionale nel modo di porsi verso il cliente, nella fattispecie di questo blog, un Titolare del Trattamento.

Lo spunto, sfacciatamente pretestuoso è quello di una tecnica informatica nota come “sandboxing”. Le righe che seguono spiegano come a partire da un fatto apparentemente solo tecnico, si può incidere in modo serio e professionale sulla conoscenza e sulla consulenza in ambito privacy rispettando e formando la consapevolezza del cliente. Anche quando questa sembra non rientrare nel monte ore o nel compenso pattuito in sede di preventivo.

Partiamo dalla definizione “informatichese” di “Sandboxing”. Si tratta di una attività di sicurezza informatica (ecco l’attinenza con il nostro blog!) usata quando si ha l’esigenza di effettuare un controllo (verifica) di un codice sorgente non ancora testato o sconosciuto oltre che preventivamente per saggiare programmi e/o applicazioni non fidate e/o sconosciute.

Come spesso accade per la terminologia dell’ inglese tecnico, più che dalla etimologia traiamo il significato della radice “sandbox” dalla traduzione letterale, cioè : scatola di sabbia. Storicamente si allude alla “forma di sabbia” usata anche da uomini non tecnologici come “stampo” per dare forma ad un metallo in colata. Più di recente nelle famiglie che geograficamente vivono distanti dal mare, ci si riferisce ad un recinto di legno con della sabbia per far giocare i bambini con due propositi : uno quello di regalare spazio alla fantasia del gioco, il secondo, più pratico e interessato, quello dei genitori che cosi non sporcano in giro per il giardino.

sandBoxPicocliConcettualmente, e direttamente legata all’uso informatico, per ottenere la verifica e il controllo precauzionale di un processo in memoria, bisogna ricorrere all’ “isolamento” logico e fisico dell’indirizzamento delle memorie del computer (sia di massa che volatile).

E’ pertanto chiaro il significato di confinamento e contenimento della sabbia di cui in definizione sopra.

passiamo ora al punto di domanda provocatorio di cui in titolo al post e lo facciamo in due passi. Prima di tutto in che modo centra la privacy e poi perchè scomodare concetti cosi ingombrabti come l’intelligenza e la deontologia professionale.

La prima parte del dubbio pertiene gli adempimenti del sempre più vicino Regolamento Europeo sul Data Protection (vedi nostro articolo :Ben tornato Prof !!! ). Infatti, un serio ADS (Amministratore di Sistema) dovrebbe ricorrere al sandboxing come pratica routinaria di test di nuovi softwares che in predicato la propria organizzazione intende adottare. Questo atteggiamento pro-attivo è anche beneficiale quando si avessero dei dubbi su un software già in uso di cui si voglia controllare un aggiornamento nell’ambito del patch-managing.

Per ciò che attiene il secondo aspetto, meno immediato da recepire, si intende lo sviluppo e la formalizzazione di procedure e prassi di Governace, valutazione dell’impatto rischi di trattamento dei dati e di relativa conformità di un Sistema privacy. In informatica quello che più velocemente in inglese è l’acronimo GRC.

L’allusione all’intelligenza del cliente si riferisce al fatto che un consulente deve sottoporre e saper indicare, sostanziandole, quelle pratiche che a prima vista sono onerose e sconvenienti ma che assicurano la completa compliance operativa del trattamento dati soprattutto all’interno dei Sistemi Informativi.

E’ chiaro che rispetto alle competenze generalmente riconosciute, ci riferiamo al compenso in solido per la consulenza, una attività addizionale e quasi sempre recepita malevolmente dai sistemisti del cliente, comporti un impegno problematico non economicamente proporzionale.

In realtà spingendo l’obbligo deontologico più in là del semplice dovuto o pattuito che dir si voglia, non solo si alimenta il valore aggiunto del cliente ma si rispetta la sua intelligenza. Questo non ritorna nell’immediato imponibile fatturato per la prestazione ma incrementa volanicamente il valore della immagine professionale per altri potenziali clienti, società e fornitori che verranno in contatto con l’azienda dove il valore aggiunto è stato realizzato.

Negli stati uniti il colosso eBay ha adottato sandbox virtuali per alimentale complesse analisi di Business Intelligenge  per i propri Data Scientists che sviluppano nuovi modelli di valutazione sul BIG DATA Behaviour. Anche in Italia ci sono gruppi che usano tecniche semantiche di analisi per il text mining, ma nessuno le finanzia.

Non temere di essere anacronistici e mettete un software dentro una sandbox, non il vostro cliente

SR

 

 

 

Soro : grazie papà !

Una recente intervista del Garante della Protezione dei Dati, merita una segnalazione accorata. Il Pres. Antonello Soro ha un modo molto paternalistico ed efficate di rimarcare come il problema della privacy sia la “consapevolezza” delle persone.

Noi osserviamo che in italiano la traduzione del “Data subject” è interessato. Riflettendo meglio si capisce di come il pragmatismo anglosassone sia in definitiva meno forviante. Detto in modo prosaico, una persona per essere l’ <interessato> deve avere l’ <interesse>.

Non fate gli sbalorditi, e insegnate ai bambini se ne siete capaci

 

SR

Privacy degli inglesi non solo più avanti ma anche più in alto !

Parliamo di droni e più in particolare di riprese digitali eseguite da droni. In Italia l’ ENAC ha già tirato fuori un regolamento estremamente stringente che tiene conto delle recenti posizioni da parte del garante per la protezione dei Dati Personali.drone

Non occorre spiegare le implicazioni potenzialmente dannose della violazione della privacy alle quali si aggiungono quelle di sicurezza (intesa come tutela delle persone fisiche). mentre è utile spiegare come gli inglesi abbiano già deliniato una normazione accurata ed efficace.

Diversamente dall’approccio italiano, l’obiettivo è quello di non pregiudicare l’uso solo per alcuni, piuttosto quello di fare in modo che chiunque utilizzi questa tecnologia lo faccia seguendo regole certe, non criptiche, di semplice attuazione.

Abbiamo trovato un articolo su OUT-LAW.COM che riassume tutti gli aspetti critici del data protection applicabili alle riprese dei droni. La formalizzazione del regolamento ad opera del  Information Commissioner’s Office (ICO) autorità indipendente inglese.

Essenzialmente l’articolo sviluppa i punti critici del Data Protection che sono mandatori per chi usa questa tecnologia, indipendentemente dagli scopi e le finalità di trattamento, i droni si appoggiano ad una infrastruttura di telecomunicazione che a tutti gli effetti è sovrapponibile a quelld i un data center e/o un cloud; come tale deve essere compliant !

ICO warns UK broadcasters over filming using drones

buona lettura

SR

Bravi bambini, ci pensa la vostra mamma.

ScolaroBravoNella Newsletter del Garante privacy del 3 novembre 2014 vale la pena di segnalare due articoli interessanti che riguardano nuove obblighi di misure preventive per il furto di identità e tutela degli interessati.

1) Furti di identità: via libera al sistema di prevenzione (doc. web n. 3505427 e 3487835)
2) Cambiavalute: sì alle comunicazioni sulle negoziazioni (doc. web n. 3487879)

In prima battuta, queste iniziative cogenti per chi deve adottarle fanno parte di quel novero di attività volte alla tutela degli interessati quando sono consumatori, clienti di banche e abbonati; tuttavia, per certi aspetti non trascurabili, queste lodevoli stringenze, vengono anche lette da alcuni commentatori come un mezzo per stringere il controllo fiscale e tributario sugli interessati, quando questi sono dei cittadini.

La controversia deriva dal fatto che da un lato ci si dovrebbe tranquillizzare dalla “fuga” più o meno accidentale dei dati personali (mercato nero delle banche dati) da parte di dipendenti, dall’ altro lato le istituzioni hanno un canale privilegiato per poter usare “loro stesse” eventuali profilazioni a scopi di

Rimandiamo alla lettura non condizionata cosi che possiate farvi una idea vostra

 

SR

 

Disaster recovery as a service (DRaaS)

DRL’uso diffuso di virtualizzazione e la disponibilità di piattaforme cloud per carichi il recupero di lavoro ha portato ad una proliferazione di offerte DRaaS (Disaster Recovery as a Service).
La replica di una VM è integrata nel servizio, in modo che il cliente ha poco da fare che una due diligence e una firma sulla linea tratteggiata del contratto di fornitura.

Alcuni servizi sono offerti da cloud/hosting provider  come NTT Communications che ha un’offerta europea in collaborazione con il fornitore DRaaS statunitense Geminare. Poi ci sono i “botti” degli specialisti di disaster recovery  che con porfolio offerte DRaaS tipo SunGard e IBM.

I fornitori DRaaS danno un valore unico portando il service ad un nuovo livello di funzionalità. Nel Regno Unito ad esempio, Plan B Disaster Recovery dichiara che la sua offerta di Microsoft Windows Server DRaaS è in grado di garantire il recupero includendo un “test notturno” della recuperabilità delle immagini che ci vuole di ambienti server dei propri clienti. Quindi non solo recuperabilità ma anche valutazioni e stime di rischio che a priori  il cliente non può immaginare. Plan B opera a livello di applicazione con “hypervisor-neutrale”, supporto VMware, Hyper-V e Xen. Il servizio di Plan B può ottenere immagini sia  server fisici che virtuali.

La Quorum offre un servizio chiamato OnQ che è stato originariamente sviluppato per la Marina degli Stati Uniti che permette  il rapido movimento di trasformazione di un sistema da una parte all’altra di una nave in caso di danni da battaglia, quindi è molto veloce e molto resistente; basato su Linux fisico o virtuale e server Windows. Inoltre OnQ è anche “hypervisor-agnostic”. Nel Regno Unito si utilizza un partner datacenter locale per recuperare le immagini del server del cliente come macchine virtuali, che permette un RTO con riavvio veloce del server.

È interessante notare che, Plan B dice che, ogni volta che il servizio è stato invocato per ripristinare un server fisico in un ambiente virtuale, il cliente non può tornare indietro. Ossia, i servizi di disaster recovery possono essere utilizzati per migrare verso ambienti virtuali, ma può anche riconoscere situazioni motivate per il quale effettuare una migrazione autonomamente.

Questo vuol dire che se il cloud è abbastanza buono in termini di connettività,  si può pensare ad un backup secondario anche per le applicazioni più critiche; chissà che npn possa poi diventare anche la stessa piattaforma primaria a lungo termine

Articolo relato : Anche io apostata del backup : DR virtualisation

SR

Image14542 - Copia

 

 

 

Se Apple e Google schiaffeggiano l’ FBI : la privacy chiave commerciale

Come sempre accade in occasione del lancio di un nuovo smartphone Apple, da mesi prima si comincia a speculare su quali sono le novità e i miglioramenti.

AppleLogo

Nel caso dell’ultimo iPhone 6 di Apple però, nessuno si sarebbe aspettato che la caratteristica più sorprendente riguardasse la privacy.  Il nuovo sistema operativo iOS8 ha reso criptologicamente indecifrabili i dati interni al dispositivo. GoogleLogo

Dopo questo annuncio anche Google ha annunciato un nuovo Android blindato a prova di FBI.Quest’ultima infatti, tramite il suo capo James Comey ha addirittura lamentato il fatto giustificandosi con le esigenze di decifratura nei casi di Forensic.

 

SR

Fonti primarie  : iPhone6 “inviolabile”, la Fbi si arrabbia con Apple e con Google (Blits OnLine e OnTopic Online)

In Italia non sarebbe successo…

La notizia che commentiamo riguarda Brooks Newmark, sottosegretario del governo britannico e ministro di Gabinetto per la Società civile.sessoIngese

Il noto detto “niente sesso siamo inglesi” è ormai superato, e nella fattispecie del caso riportato il politico ha rassegnato le dimissioni a causa di uno scandalo che ha portato alla luce un “post” di materiale sessualmente esplicito da parte del Newmark.

Come il titolo di questo post provocatoriamente invoca, saremmo tentati di esclamare che in Italia questo non sarebbe successo. Ci vuole altro per portare un politico alle dimissioni e comunque, quando questo accade, si tratta in genere di un atto superimposto dal proprio partito.

Invece quello che ci interessa mettere in evidenza è che lo scandalo riguarda le modalità per le quali il Newmark è rimasto invischiato.

Se è vero, un giornalista del Sunday Mirror, che si è finto un attivista dei diritti civili, si sarebbe fatto spedire dal politico conservatore delle fotografie pornografiche sull’account di un proprio social.

Si, possiamo dirlo con tono nazionalistico : in Italia non sarebbe successo !

Inghilterra, sottosegretario invia foto osé sui social network e si dimette (Corriere della Sera – testata on-line)

SR

 

Che lo vogliate o no… E’ arrivato il GDPR! (Parte 2)

Continua dalla Parte 1

CERTIFICARE COSA, COME, QUANDO e CHI
Un grosso ambito di controversia messo in discussione con la Riforma europea del GDPR (General Data Protection Regulation) riguarda il capitolo della Certificazione…

Prima di tutto va chiarito che chi scrive è un CPP (Certified Privacy Professional) operando in Italia come esperto riconosciuto dalla FederPrivacy e accreditato come DPO secondo lo scheda di certificazione di TUV-Italia. Tuttavia prima del 2006, in Italia non c’erano titoli appropriati ed è stato possibile svolgere consulenze in ambito privacy solo grazie ad altre certificazioni ICT quali le ISO20000 e le ISO27001.

In effetti dopo aver letto la portata e la variegazione delle competenze e delle responsabilità che un Data Protection Officer (DPO) deve fornire al Data Controller (omologa figura del precedente Titolare del Trattamento, TdT), non si vede come possa essere diversamente. Naturalmente si intende che la certificazione non riguardi solo il consulente ma anche la organizzazione, insomma il cliente.
Appare chiearo che è necessario trattare il Data Protection come un qualunque altro schema di Qualità e Sicurezza, quindi : certificazione come risposta e sponda sicura di credibilità, efficacia e soprattutto prevenzione pro-attiva che scongiuri sanzioni ! E’ davvero cosi?

trasparenteRispondiamo prima e argomentiamo dopo : No, la certificazione di per sè non da alcuna “copertura” o certezza di manleva da adempimenti.

Storicamente abbiamo scritto decine di articoli su una vecchia questione che riguarda la contraddizione in termini della certificazione versu oblblighi da prescrizioni legali.

Le certificazioni hanno un ambito e non possono essere un salvacondotto di conformità a priori. In merito al primo punto facciamo un esempio elementare…

Se oggi sono in una azienda di servizi IT con 12 persone che si occupa di Networking, Cyber Security e progettazione Siti di E-commerce. L’amministrazione ostenta con orgoglio un certificato ISO9001:2005 e mi dice di avere due tecnici certificati CISCO e di avere anche un DPS per la privacy che è anche pubblicato nel sito vetrina aziendale

Faccio le seguenti considerazioni :

  1. Le ultime revisioni delle ISO9001 sono quelle del 20013
  2. Che gli amministrativi abbiamo certificato il processo di Customer care e di fatturazione è privo di valenza ai fini della credibilità del core-business della società
  3. Per le attività condotte sarebbe molto più utile avere certificazioni ICT
  4. In una piccola azienda il percorso di certificazione è troppo costoso e soprattutto lungo! Se si trattasse di esperti nei processi dichiarati, basterebbero delle linee guida di riferimento come ITIL/CoBIT, NIST, ENISA o CLuSIT o le SOC1.2.3 di AIPCA.
  5. Il DPS non esiste come tale dal 2009 (Decreto Monti) e soprattutto citarlo vuol dire fallire nel primo e più elementare degli adempimenti privacy : la formazione
  6. Le certificazione CISCO (cosi come di qualunque altro brand), non sono norme contrattuali di sistema quindi ai fini della Data Protection, hanno la stessa rilevanza di un marchio CE su un cestino per la carta.
  7. tornando al certificato ISO9001 è un pericoloso indizio anche per l’agenzia di consulenza che ha candidato la società all’ente di certificazione in quanto per definizione, qualunque sia lo schema e l’ambito di applicazion, nessuna certificazione può essere concessa se prima la Società non dimostra di rispettare tutti i requisiti di legge e le prescrizioni legali a lei applicabili.

Non c’è bisogno di un grande lavoro di fantasia per capire che la società in questione non potrebbe mai passare indenne un controllo del GAT.

Insomma la certificazione da sola non risolve eppure può dare una grande mano !

GDPRIl GDPR ha essenzialmente unificato il mondo della Privacy con quello della Sicurezza Informatica. Il termine Sicurezza va qui inteso nella sua accezione più vasta. Come abbiamo spesso scritto nelle nostre rubriche, gli amglo-sassoni hanno la Security, la Safety e la Risk-Prevention mentre noi, per farci capire, dobbiamo indirizzare la Sicurezza con attributi di ambito : nei luoghi di lavoro, per il personale a rischio, per la tutela dei dati personali, per le infrastrutture, per le aree confinate o per rischio biologico e sanitario.

A fronte di ognuno di questi aspetti, tutti giganteschi dal punto di vista delle legislazioni di settore e delle normazioni merceologiche, abbiamo trattamenti di dati personali. Non solo, oltre alla carta che storicamente non è mai scomparsa e in una nazione fondamentalmente burocratica non scomparirà mai, virtualmente qualunque attività detiene, transa, elabora, conserva, osserva, diffonde, comunica qualche forma di dato digitale personale.

Non è un caso che cosi come per altri precetti e disposizioni della norma, anche in merito alle certificazioni non c’è alcun obbligo, fintanto che si possa dimostrare che le misure fisiche, logiche e di processo “adeguate” (questo ha sostituito le vecchie misure “minime”), sono dimostrabili, attuate e plausibili rispetto al tipo, alla finalità e alla estensione del trattamento dei dati personali.

 

PRIVACY BY DESIGN E BY DEFAULT : LINEE GUIDA MEGLIO DELLA CERTIFICAZIONE
Il Data Protection ha introdotto i concetti di Privacy by Default e By Design. In sè piuttosto elementari, questi due fondamenti della Riforma implicano uno tzunami culturale che comporta investimenti sia strutturali e che processo e in ultima analisi di risorse umane.

Se in tutto il mondo questo è già stato affrontato e messo in linea con l’evoluzione della tecnologia, qui in Italia basta rilevare che il 23% dei personal computer nelle strutture sanitarie monta ancora Windows XP!

In realtà in alcuni laboratori di diagnostica di alcuni ospedali e università esistono stazioni di lavoro Windows 98 interfacciate a strumentazione di laboratorio (n.d.r).

Considerando che oggi nessuno prescinde dall’uso promiscuo di smartphone con dati personali e lavorativi, la estensione della superficie di attacco è immensa per via dei canali di accesso via Internet.

10comandamentiCome abbiamo visto nella Parte 1 di questo articolo, la UE ha imposto la direttiva sul Data Breach proprio perchè in un mondo interconnesso dove non ci sono più virus troiani ma Ramson’s ware, tutti i concetti di sicurezza sono migrati dalla protezione da attacco alla prevenzione di Cyber Security.

Per rispettare gli adempimenti in tal senso, non basta più far vedere la licenza di un anti-virus, piuttosto bisogno avere un gruppo di lavoro per le emergenze informatiche (CERT) in grado di configurare una difesa H24 perimetrale del Data Center dietro il modem del flusso HDSL/MDSL o quanto e quale altro sia il flusso di comunicazione con e per l’esterno.

Di fatto alcune delle misure “adeguate” da mostrare al GAT in occasione di controllo, sono un sistema di monitoraggio anti intrusivo IPS/IDS, una politica di NAT e PAT a livello di DMZ (soprattutto per chi pubblica dei web con accesso credenzializzato all’area riservata), un sezionamento intelligente della rete LAN (Es. : subnet e VPN), politiche di Virtualizzazione legate alla accountability dei Data Processors; dove presenti, proteggere e gestire gli accessi e il controllo di configurabilità per impianti VOIP, video-sorveglianza, stampanti IP, WI-FI (sia access point che Hot-Spot), politiche di sensibilizzazione sui BYOD.

Per tutte queste cose si possono risparmiare soldi di certificazione seguento le ITIL e le CoBIT. Nel suo piccolo anche il Garante italiano ha diffuso delle reprografiche di divulgazione.

Sempre solo con il proposito di citare e non affrontare nel dettaglio, per ciò che riguarda il WEB, bisognerebbe sincerarsi di aver un PEN-Test e delle policy aderenti alle linee guida OWASP.

Non essendo concepibile o credibile che un imprenditore possa spendere decine di mila euro per acquisire tutte queste tecnologie e con esse le competenze per gestirle, il GDPR responsabilizza i fornitori…

Vediamo cosa vuol dire praticamente.

Un po’ come accaduto in passato con il DM318/99 e il successivo Dlg.vo 196/03, alcuni fornitori sono stati nominati Responsabili Esterni. Da oggi le cose sono ulteriormente migrate perso una maggiore implicazione e coinvolgimento dei fornitori ICT. Dal venditore di Stampanti IP che con la scusa del cambio manutentivo del Toner, può prendersi con una pendrive tutte le stampe di una azienda negli ultimo 6 mesi, al contratto di Storage in Cloud su un Cloud Provider Pubblico. Non basta dare l’upTime medio, bisogna concordare con l’istituto delle BCR, SLA e della Privacy Level Agreement una corresponsabilità

Tutti costoro sono da oggi Data Joint-Controllers !gdf

In termini pratici non solo devono esistere dimostrabili atti e scritture di accordo specificamente indirizzati a garanzie di trattamento e di detenzione dei dati personali, ma in caso di problemi o controversie legate alla Autorità per la Protezione dei Dati Personali, se comprovato un nocumento, anche i fornitori saranno coinvolti nel risarcimento e/o comminazione delle sanzioni.

 

 

 

 

Protetto: Health IT’s Future: 9 Issues To Watch

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Ingegnere esperto sicurezza e sistemista : peccato lei non sa dipingere !

pittorestradaCome dice il mio amico Paco Gegè Paolini, un ingegnere non vive! Funziona !

Chiaro che anche detto in modo amicale, qualcuno più suscettibile potrebbe offendersi. Il punto è che oggi, nella sicurezza informatica,  puoi essere competente e bravo quanto vuoi ma la chiave di lettura per stare al passo con le esigenze di protezione si deve avere una artistica vena di immaginazione.

Più sinteticamente, la ICT Security  va totalmente reimmaginata !

La sicurezza convenzionale rileva troppo tardi le minacce (quando ci riesce, non sapremo mai tutte le volte cha fallisce), inoltre, e forse ancora più drammatico, per risolverle impiega troppo tempo e coinvolge più persone fatte di intere squadre di sicurezza. Peraltro, il semplice fatto di avere diverse competenze frammentate (o distribuite) porta comunque ad una visione incompleta del cosa sta succedendo nella loro rete (o come abbiamo detto sopra di cosa è ormai già accaduto!).

Questo quadro passivo e miope espone  alle tendenze sempre più aggressive e di natura variegata delle minacce informatiche. Soprattutto, la reazione (sempre nella ipotesi in cui ci sia) è troppo lenta perchè essendo concepita in modo statico soffre delle condizioni mutevoli dei mezzi e dei target tecnologici dei sempre cangianti dispositivi connessi (IoT).

Le organizzazioni hanno bisogno di un modo flessibile e profondamente integrato di disegnare la difesa perimetrale con una una vista “ispirata” e “illuminata” nei confronti delle possibili minacce.

Come dite? Parli facile…

In effetti espresso in modo cosi generico potrei risultare qualunquista! Quindi spendo qualche riga di spunto che perà non tracimi in un trattato. E’ anche ovvio che per esaurire un tema come questo occorre studiare decine di testi e sempre presupponendo un backgroud culturare maturo e consolidato dalla esperienza.

Partendo dalla direzione prospettica, si potrebbe ottenere un primo grande risultato. Piuttosto che provare ad evitare ogni attacco (per definizione non è possibile), si potrebbe implementare un modello di difesa “adattivo” che basandosi su un tracciato euristico di caratteristiche “tecniche”  e indicatori qualitativi possa riconoscere (fare un guessing) perlomeno su tipologie di attacchi che stanno per verificarsi. Si pensi al solo fatto di poter banalmente classificare una storiografia delle porte sotto attacco abbiante alla fascia oraria e al servizio (ma esistono molte altre caratteristiche tracciabili già disposnibili nei log).

Avendo quindi una semplice storicizzazione con una banale inferenza semantica, cosi come accate nei filtri di posta elettronica, si potrebbero intercettare (sniffare) particolari “contraint”. Questo è particolamente vero per gli attacchi che costituiscono il rumore di fondo e vendono dalle università cinesi, dell’est europa o da israele.

Chi ha fatto il sistemista, sa di cosa sto parlando.

Cambiare il modo di pensare e mirandolo a rilevare velocemente le tipologie di “situazioni” e “contesti” di attacchi e aiuta a rispondere prima evitando guai peggiori peggiori (dati rubati, correzioni costoso e reputazione). Meglio della telefonata dell’utente al quale non funziona più qualcosa e perchè preventivamente si è bloccato un processo (inteso nella accezione sistemistica dell’eseguibile in memoria).

Per ridurre i tempi delle metriche, le organizzazioni devono essere in grado di adattarsi come fanno i loro attaccanti cambiando allo stesso modo o tipologicamente analogo le tattiche difensive.

Non “sognare” di individuare un “tronco di stream” (quello lo fanno gli antivirus), piuttosto riconoscendo “situazioni di contesto” sospette in modo preventivo.

Questo è possibile con una architettura di sicurezza agile che sia integrata con una prospettiva “end-to-end”.  Il sistema deve considerare e scandire sistematicamente  un quadro completo di minacce come un repository di intelligenza euristica e lo deve fare sia internamente  che esternamente. Si deve assumere un ruolo pro-attivo alla “lean-forward”, quindi una  predisposizione non solo ad aspettare gli attacchi, ma ad anticiparli.
Questo è percorribile anche senza costose appliance commerciali.

In questa generazione tecnologica, Internet ha imposto un nuovo concetto di frontiera. Tutto è ripensato, dalle banche all’assistenza sanitaria all’educazione al divertimento. Cambiato anche il nostro modo di rimanere in contatto con gli altri (amici e non), tracciare la nostra salute, spostarsi in città e fuori, rimanere aggiornati al minuto secondo, imparare nuove cose, guardare la TV e film e gestire le proprie economie e beni.

La rete globale di diversi miliardi di dispositivi collegati (IoT) ha modificato innumerevoli industrie e toccato quasi ogni aspetto della civilizzazione. Ha anche cambiato la natura di cyber crimine e spionaggio cosi come il nostro tempo (inteso come concetto del “corrente”). Sia  le informazioni personali che e propri soldi  sono andati on-line, quindi l’informatica degli aggressori è rapidamente evoluta di conseguenza .

Pertanto gli stessi progressi che hanno trasformato innumerevoli industrie, ha potenziato gli aggressori.

La criminalità informatica è peralto ben finanziata offredno agli hacker migliori  opportunità di quelle che l’univeristà di ieri può garantire.

Operazioni di spionaggio sono sponsorizzate dagli stati e questo non è più una “credenza da romanzo di spionaggio” come si è creduto nel passato.

Le nostre difese non sono riuscite a tenere il passo e la architettura di sicurezza IT rimane bloccata su un approccio “signature-based”da anni 80. Parliamo dell’epoca in cui IBM lanciava il primo PS / 2 del computer e Microsoft MS-DOS 3.3 e governava il mercato del sistema operativo. Allora la maggior parte delle persone non poteva collegarsi a Internet e per il primo servizio dial-up commerciale bisognava aspettare ancora qualche anno.

I  periodi di rapida innovazione quasi sempre inducono a dimenticare o trascurare gli aspetti negativi. Mantenere il passo con i cambiamenti, porta a non riflettere sui loro svantaggi.  La sicurezza informatica rappresenta una gran parte dei settori critici indotti dall’era digitale. Con un numero sempre crescente di furti di informazioni, della proprietà intellettuale, di segreti di Stato è irrinunciabile ripensare l’ approccio alla sicurezza informatica.

Sempre con il proposito di fornire elementi non pretestuosi e non risultare qualunquisti, facciamo una ulteriore riflessione sulla seguenti evidenze. Si commentano da se stesse !

Le organizzazioni investono miliardi di dollari ogni anno in strumenti di sicurezza (1) che promettono di proteggere i loro beni.  Eppure il carico di lavoro e le risorse IT non sono mai diventate più sicure di quanto lo fossero prima. Mediamente, gli aggressori hanno innescato una violazione di Sistema scoperta solo 229 giorni dopo che si è verificata !

In riferimento agli incidenti informatici di cui sopra, questi hanno almeno un mese o giù di lì prima che siano completamente indenni sulla rete, e solo per la tipologia di attacco di cui si è vittima.

In un recente studio di implementazioni di sicurezza del mondo reale (2), oltre il 97 per cento di sistemi sono stati violati, pur avendo schierato diversi strati di sicurezza.  Le architetture di sicurezza convenzionali creano in genere più lavoro. Nella marea di dati di log ci sono molti  falsi positivi e avvisi per i quali non si riesce ad associare un contesto.

Piuttosto che concentrarsi su vere e proprie minacce, lo staff di sicurezza passa il tempo su busy-work a caccia di vicoli ciechi. Le organizzazioni stanno lottando per contenere costi e complessità operative dell’ IT. Il modello prevalente è fondamentalmente esaurito.

Forse mi sono spiegato meglio, non ho la presunzione di essere meglio !

SR

 

Image16 -434343 Copia

 

 

 

Riferimenti citati
(1) Ponemon Institute. “2013 Cost of Cyber Crime Study: Global Report.” October 2013.
(2) FireEye. “Cybersecurity’s Maginot Line: A Real-world Assessment of the Defense-in-Depth Model.” May 2014.

Videosorveglianza “a nudo” con la Verifica Preliminare

Un episodio relativo ad una società di Padova ci fornisce  l’occazione di scrivere su un “Preliminar check” o Verifica Preliminare. Si tratta di un tema in materia di videosorveglianza che non avevamo ancora discusso nelle nostre colonne. spogliatoi

Ciò che rende “interessante” l’episodio non è solo il ricorso a questo strumento previsto dalla legge per il quale una società, prima di installare un impianto o in necessità di una estenzione/modifica di uno preesistente,  può richiedere alla’Autorità Garante un sopralluogo e/o un parere per ottenere il permesso e sancirne la conformità. Naturalmentem la società è comunque poi soggetta a dimostrare l’adempimento secondo quanto prestabilito.

Torniamo alla fattispecie perchè la società si è vista negare la richiesta in quanto la installazione delle videocamere si pretendeva fosse effettuata negli sposgliatoi dell’azienda.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3325380

Il fatto che di per sè risulta incommentabile, merita invece un approfondimento in quanto la società ha motivato le proprie richieste allegando anche delle denunce di furto ricorrenti.  Il punto è che le denunce facevano riferimento a furti accaduti nelle aree degli uffici e fuori dagli orari di lavoro.

Ci si chiede : c’era bisogno di scomodare il Garante?

SR

Sempre più in alto… No sempre più vicino !

Mutuiamo da una vecchia pubblicità lo slogan che dalla cima di una montagna innevata veniva scandito dal compianto Mike Bongiorno per alludere in modo indiretto alla notizia che riguarda Samsung e i suoi SmartTV.

SmartTV

Chi ci segue sa di come seguiamo costantemente l’evoluzione del mondo IoT (Internet of Things) e il parallelo pianeta della privacy. Adesso che i televisori sono intelligenti, sono inevitabilmente anche più indiscreti dal punto di vista dei dati personali acquisiti e veicolati inconsapevolmente dagli utenti spettatori.

Segnaliamo un articolo intrigante e equidistante dal punto di vista tecnologico e regolatorio per riflettere su questo tema e di come anche all’estero gli osserrvatori di tecnologia e etica ICI rimangano costernati dall’evolversi della situazione

Samsung ‘Smart TV’ Records “Personal” Conversations & Sends Them to Third Parties (INFOWARS)

Per praticità riportiamo il link discusso direttamente sulla fonte primaria

Samsung Global Privacy Policy – SmartTV Supplement (sito ufficiale localizzato)

 

 

Verifica preliminare : non è vero che il Garante dice sempre no

Interessante l’articolo su Altalex che segnaliamo per una notizia positiva sull’argomento, in genere affrontato con scetticismo, della verifica preliminare.  L’ambito interessato è quello ancora più controverso della videosorveglianza e noi abbiamo seguito su queste colonne entrambi gli argomenti.Verifica

La parte positiva della notizia riportata da Altalex  riguarda il fatto che una società ha richiesto la estenzione del periodo di conservazione delle registrazioni di videosorveglianza nei magazzini.

Essendosi recentemente espressa in tal senso, la Autorità si pensava che avrebbe negato qualunque forma di deroga, invece non è andata cosi. Leggendo l’articolo si comprende come, quando si ha un sistema di privacy e Data Protection funzionante e operante, è tutto possibile purche adeguatamente supportato e gestito secondo i principi di finalità e proporzionalità.

Come dire che se le instanze sono motivate intelliggentemente e oggettivamente, si trova sempre una strada.

Testo della delibera del Garante

SR

L’ultimo crociato : Antonello Soro

soroUno spunto interessante sul Presidente della Autorità per la Privacy Dott. Antonello Soro. Dalla esplosione dello scandalo del Datagate, sistematicamente e in ogni circostanza si produce in arringhe accorate contro i giganti del WEB.

Non riportiamo virgolettati perchè il video disponibile al link è il modo più diretto per apprezzare la difesa alla democrazia.

La occasione l’ultima relazione della Autorità del Giugno 2014  disponibile dalla testata elettronica del TGLa7  : Privacy, Soro: ‘attenzione al potere del web

 

Buona Lettura

 

SR

Solito bilancio di Marzo sulle sanzioni : non è terrorismo

Da sempre seguiamo e rendiamo conto delle comunicazioni di bilancio della GdF in merito ai controlli dei sistemi privacy delle aziende. Siamo consapevoli di come questo venga generalmente recepito come un atto terroristico eppure non lo è.

gdf

In questo post riportiamo una ottima descrizione riassuntiva completa di intelliggenti riflessioni (in fondo sempre le stesse) tratta dal network indipendente BitMat. L’articolo non ha bisogno di essere commentato rimandiamo quindi alla sua lettura diretta

Non proteggere i dati è un reato: piovono multe del Garante della Privacy alle aziende (Marzo 2015)

(Pubblicato anche su Corriere della privacy – NdR )

Ben tornato Prof !!!

E già, sembra che questa volta sia quella buona per la definitiva approvazione della Riforma Europea per la Protezione dei Dati.

Il regolamento generale in materia di protezione dei dati personali, la cui approvazione è prevista per il prossimo Consiglio europeo Giustizia e affari interni del 4-5 dicembre prossimi, si propone di armonizzare la normativa europea in tema di privacy, adottando regole comuni per tutti gli Stati membri al fine di superare l’estrema frammentazione e disomogeneità con cui sono state recepite in passato le direttive in materia.

rodotàCosa rende maggiormente credibile questa circostanza rispetto alle decine di tappe inutilmente trascorse negli ultimi due anni?

Per quel che possiamo apprezzare noi dall’esterno, un sicuro indizio di credibilità è la presenta del prof. Rodotà!

Per tutto il resto, tra scambi di promesse e confronti sterili tra le varie istituzioni europee (abbiamo già scritto spesso sul controllo incrociato lobbistico sul Data Protection), non c’è nulla di nuovo. Il Regolamento nel merito ha gli stessi contenuti preannunciati due anni fa.

Speriamo sia la volta buona!

Fonte originale – Governance di Internet ed efficienza delle regole: verso il nuovo regolamento europeo sulla privacy (Cor.Com)

 

SR