Passa ai contenuti principali

Post

Visualizzazione dei post da 2017

GDPR: cosa cambia per gli amministratori di sistema?

Che ne sarà dei provvedimenti dei singoli garanti nazionali quando il GDPR entrerà nel pieno della sua efficacia il 25 maggio del 2018? Anche qui il regolamento europeo è molto chiaro: i provvedimenti e le linee guida emanate dalle authority nazionali che NON sono in contrasto col regolamento stesso continueranno ad essere in vigore. È questo il caso del noto provvedimento che riguarda gli amministratori di sistema datato 27 novembre 2008 denominato " Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema " e quindi vale la pena riassumere quali sono queste importanti disposizioni. Ma prima vediamo questo simpatico video di Balabit, leader mondiale di soluzioni per il monitoraggio degli utenti privilegiati, che ci fa comprendere molto bene perché gli utenti privilegiati e quindi gli amministratori di sistema possono essere una potenziale grossa minaccia per

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

GDPR compliance: se e come scegliere il DPO (Data Protection Officer)

La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai qu

Cybersecurity: il monitoraggio degli utenti privilegiati

Tra le minacce informatiche più pericolose ma anche spesso più sottovalutate dalle aziende vi è quella relativa agli utenti privilegiati. Le violazioni degli account relativi ad utenti privilegiati, amministratori di sistema, amministratori di base di dati, amministratori di rete sono potenzialmente molto più pericolose rispetto ad altre categorie di utenti in quanto il loro profilo autorizzativo e l'accesso alle risorse del sistema informatico aziendale potrebbe essere sostanzialmente illimitato comprendendo quindi i dati più importanti relativi ai dati personali, al know-how, etc. Per questo motivo è importante introdurre all'interno del sistema di cybersecurity aziendale delle policy relative agli utenti privilegiati. Generalmente non si ritiene infatti che gli amministratori di sistema, volontariamente o involontariamente, possano essere una minaccia per l'azienda, in quanto si tratta di figure professionali spesso caratterizzate da un rapporto fiduciario consolidato

Misure minime di cybersecurity per le pubbliche amministrazioni

La circolare dell'Agenzia per l'Italia Digitale (AgID) del 18/04/2017 n. 2/2017 attua quanto anticipato dalla Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015 sulle misure minime di sicurezza ICT per le pubbliche amministrazioni. Questo documento fornisce il riferimento normativo e le prassi metodologiche da seguire per implementare livelli di sicurezza informatica adeguati per tutte le pubbliche amministrazioni. Il termine entro il quale tali misure minime dovranno essere rese operative da tutte le pubbliche amministrazioni è quello del 31/12/2017 . Sostanzialmente i criteri adottati si basano sul Framework Nazionale di Sicurezza Cibernetica (FNSC) proposto con il "2015 Italian Cyber Security Report del CIS" dalla Sapienza di Roma che a sua volta si basa sul Cybersecurity Framework del NIST  promulgato dall'amministrazione Obama nel 2013 al quale su questo blog ho già dedicato un post. Vengono introdotti tre livelli di controlli di sic

Il nuovo regolamento europeo sulla PRIVACY (GDPR) in un minuto

Ormai manca davvero poco: le lancette dell’orologio corrono velocemente verso maggio del prossimo anno, quando entrerà in vigore il nuovo regolamento europeo sui dati personali che si applica in tutti gli stati membri dell’unione europea, compreso il Regno Unito. Vediamo di cosa si tratta in questa infografica.

The Privacy of Money: l'avvento delle criptovalute

In tutto il mondo i cittadini stanno mostrando insofferenza verso un controllo sempre più sistematico delle istituzioni sui propri flussi finanziari, in base ai quali spesso vengono fatte profilazioni su cui poi si stabilisce l'affidabilità o meno di una certa persona sul piano economico. Anche se il nuovissimo Regolamento Europeo sui dati personali all'art. 22 stabilisce che "L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona"  e che quindi un sistema automatizzato NON può prendere delle decisioni in base ai soli dati personali di una persona senza l'intervento umano, appare chiaro a tutti che è assolutamente banale scavalcare questa disposizione semplicemente avallando "umanamente" ciò che viene stabilito dalla macchina. Una delle conseguenz

La valutazione d'impatto sulla protezione dei dati personali

La valutazione dei rischi privacy o Privacy Impact Assessment (PIA) è uno dei punti più importanti introdotti dal nuovo regolamento europeo sui dati personali agli articoli 35 e 36, l'onere è in capo al titolare del trattamento e l'inadempienza della norma comporta sanzioni pecuniarie fino a 10.000.000 di Euro o fino al 2% del fatturato annuo globale dell'anno precedente la violazione, quindi questa volta sanzioni molto importanti e badate bene: il regolamento europeo è una legge e non una direttiva quindi non ci saranno rinvii come molti auspicano. Inoltre essendo una legge che coinvolge tutti e 28 i paesi europei - sì per adesso anche la Gran Bretagna - nel caso di una violazione avvenuta in Italia dei diritti di un cittadino che risiede in un altro paese dell'UE, sarà proprio il garante di quel paese, magari proprio il garante britannico, che verrà qui col coltello tra i denti a fare un sacco di domande scomode all'azienda responsabile della violazione. Prim

PRIVACY: come completare l'adeguamento al GDPR in 10 mosse

Ormai manca poco più di un anno ed il nuovo regolamento europeo sulla privacy meglio conosciuto come GDPR sarà operativo a tutti gli effetti comprese le pesanti sanzioni per le aziende che non si adegueranno alla normativa. Ma come si può fare per verificare che la nostra attività sia effettivamente a posto col regolamento? Ecco una sintetica roadmap in 10 punti ognuno dei quali andrebbe sicuramente approfondito ma si tratta comunque di una buona base di partenza. Condurre un data audit interno. Predisporre un'analisi di tutti i trattamenti e le tipologie di banche dati che trattano dati personali presenti in azienda. Verificare se esistono particolari tipi di trattamenti che richiedono particolari accorgimenti. Portare alla luce tutte le vulnerabilità che potrebbero portare l'azienda a non essere in linea con il GDPR. Creare e manutenere un inventario di tutto l'ambiente digitale aziendale, comprensivo di tutte le piattaforme dove sono contenute le banche dati che

Google inserirà nel proprio browser Chrome l'ad-blocker di default

Secondo un articolo pubblicato sul Wall Street Journal , Google starebbe procedendo ad implementare sul suo browser Chrome un software ad-blocker per bloccare la pubblicità invasiva "by default" sia sulla versione per pc desktop che sulle versioni disponibili su tablet e smartphone. Che cosa sta succedendo? E come mai Big G che è leader della pubblicità on-line con 60 miliardi di dollari incassati solo nel 2016 dovrebbe procedere ad una manovra così drastica che intuitivamente potrebbe mettere a repentaglio la sua stessa maggiore fonte di redditività? In realtà già da qualche anno la sensibilità del consumatore medio americano, ormai utente internet evoluto, è radicalmente cambiata: è nata una forte domanda per un blocco della pubblicità invasiva come pre-roll e video che ha visto il proliferare di software ed estensioni ad-blocker di terze parti, si stima che già oggi negli Stati Uniti d'America un utente su due utilizzi un tale software per proteggersi dalla pub

Cybersecurity e fattore umano

Anche se breve la storia della sicurezza informatica ha già le sue tappe e le sue svolte. Fino a qualche anno fa proponevamo sistemi che si fondavano sulla sicurezza perimetrale, basati essenzialmente su firewall e antivirus. Queste erano anche le best practices imposte dalle misure minime di sicurezza del Codice della Privacy (D.Lgs. 196/2003) che infatti era una legge che nasceva agli albori degli anni 2000 ereditando la filosofia mainstream degli anni novanta basata essenzialmente sul "fortino". Oggi l'efficacia di questo sistema difensivo non è più quella di un tempo perché questi sistemi non tengono conto della più grossa vulnerabilità dei moderni sistemi informatici: il fattore umano. Ma ripercorriamo brevemente la storia delle principali minacce cyber nel corso degli ultimi 40 anni: anni 70, arrivano i primi hackers chiamati "phreakers" il cui scopo era quello di manomettere gli apparati telefonici per fare chiamate gratis anni 80, arriva il primo

Pubblicato il rapporto Clusit 2017 sulla sicurezza ICT in Italia

È stato pubblicato in questi giorni il rapporto 2017 sulla sicurezza ICT in Italia. Il Clusit è un'associazione che ha sede al Dipartimento di Informatica dell'Università degli Studi di Milano che si occupa di diffondere la cultura della sicurezza informatica presso le aziende, le PA ed i cittadini in generale. Tra i suoi scopi istituzionali c'è quello di contribuire alla definizione di percorsi formativi per le figure professionali che operano nel settore, di partecipare agli iter delle leggi e dei regolamenti che coinvolgono la sicurezza informatica oltre a quello di promuovere le tecnologie che aumentino il livello di protezione degli ambienti digitali nei quali operiamo. Per questo il Clusit coinvolge oltre 500 operatori del mondo accademico, produttivo e governativo. Dal rapporto, che può essere scaricato gratuitamente dal sito del Clusit , emerge come il 2016 sia stato a livello globale l'annus horribilis per la sicurezza informatica dovuto ad una sistematica

Il Cybersecurity Framework: una roadmap per la sicurezza delle aziende italiane

Il Cybersecurity Framework è stato pubblicato negli Stati Uniti d'America nel febbraio del 2014 in seguito ad un provvedimento dell'amministrazione Obama. Si tratta di uno standard nato da un processo al quale hanno collaborato istituzioni governative, universitarie e produttive che facevano riferimento al National Institute of Standard and Technology (NIST). Lo scopo principale del framework è quello di creare uno strumento di facile utilizzo e comprensione per l'analisi del rischio cyber che potesse adattarsi a tutti i possibili contesti, dalle grandi infrastrutture strategiche alle piccole e medie aziende. Il compito del NIST è quello di provvedere al costante aggiornamento del framework per rispondere al rapido evolversi dell'ambiente digitale nel quale operano imprese e istituzioni.   Il Cybersecurity Framework si basa essenzialmente su una valutazione dei rischi cyber che coinvolge 5 funzioni: identificazione protezione individuazione reazione ripristino

La privacy dell'internet delle cose (Internet of Things, IoT)

L'azienda SAS leader in digital analytics mi ha mandato una brochure che riguarda l'Internet of Things (acronimo IoT) di cui molto si parla in questo momento come il nuovo orizzonte digitale che nel prossimo futuro investirà ogni aspetto della nostra vita: oggetti interconnessi in rete che ci forniscono in tempo reale informazioni sulle utenze domestiche, sul traffico, sul nostro stato di salute, sulla nostra attività fisica e molto altro ancora. Potete scaricare la brochure a questo indirizzo compilando la form. Nei primi anni novanta quando lavoravo alla Olivetti (rete indiretta) ci mandarono ad una convention nella quale veniva lanciato il progetto di Olivetti sulla domotica e ci raccontarono con il solito entusiasmo visionario che contraddistingueva queste riunioni che di li a qualche anno ogni casa avrebbe avuto il suo computer che avrebbe gestito tutti i dispositivi dalle tapparelle, alla lavapiatti, al microonde. Ancora il termine Internet of Things, in italiano &q

EU-U.S. Privacy Shield: come vengono tutelati i dati personali dei cittadini dell'Unione negli USA?

Il nuovo regolamento europeo sulla protezione dei dati personali UE 2016/679 è stato approvato nel maggio del 2016 e prenderà il posto del precedente Codice della Privacy (D.Lgs. n. 196/2003) e verrà adottato da tutti i paesi membri nel maggio del 2018. Nel nuovo regolamento europeo si passa dal concetto di territorialità del dato personale al concetto di nazionalità del dato personale, ne consegue che tutti i dati dei cittadini che fanno parte di un paese membro dell'Unione Europea sono soggetti a questa direttiva anche quando questi sono effettivamente inclusi in applicazioni che risiedono fuori dai confini europei. In questi casi si parla di paesi terzi per i quali il trasferimento è consentito in presenza della decisione di adeguatezza della commissione, è un passaggio importante se si pensa che la maggior parte dei giganti del web: Google, Microsoft, Facebook, Amazon offrono servizi e applicazioni informatiche cloud la cui titolarità risiede negli Stati Uniti d'Americ