GDPR

  • Analisi Costo violazione dei Dati - Data Breach-

    IBM con Ponemon Institute hanno misurato il costo di un data breach in ogni paese in ragione del settore e delle misure di contenimento o di ampliamento del rischio adottate.

    Analisi Costo Data Breach

    Il tool di IBM lo potete trovare a questo link e scaricare anche lo studio di Ponemon sul costo di un data breach https://databreachcalculator.mybluemix.net/

    E' interessante provare i vari pulsanti e valutare l'effetto, è uno strumento che risk, IT e compliance e governance manager dovrebbero provare per comprendere la portate di certe scelte.

    Aspettando il GDPR finalmente una iniziativa che sensibilizza concretamente al problema del data breach, adempiere al GDPR significa avere una buona assicurazione sulla propria attività, non adempiere significa invece rischiare il tracollo economico in caso di data breach.

    Quello che a mio avviso manca in questa analisi sono due elementi importanti:

    • Forensics Readiness
    • Forensics Team

    L'adozione di politiche di Forensics Readiness, se correttamente implementate permettono di individuare tempestivamente se non di prevenire un data breach.

    Il Forensics Team è fondamentale per cristallizzare con metodi forensi opponibili a terzi il breach e le modalità con cui si è realizzato. Infatti talvolta si sottovalutano le azioni legali di salvaguardia e di risarcimento che gli interessati posso mettere in campo. Se l'azienda ha adottato le metodologie della Digital Forensics, le prove raccolte sono il testimone che difende l'azienda, che permette di identificare il/i responsabili e rivalersi contro di loro: i data breach non avvengono solo per mano di gruppi hacker dislocati chi sa dove, se non siamo Amazon, è più facile che chi ci ha violato i sistemi sia molto vicino a noi, un'azienda concorrente, un dipendete infedele, un fornitore maldestro o intenzionato ad acquisire dati o know-how, in questi casi è concreta la possibilità di agire contro di loro a tutela dell'azienda.

    Per chi vuole sapere come la Forensics Readiness può aiutare alla gestione del Dtata Breach consigliamo la lettura delle slide del talk a SMAU Milano 2017 https://goo.gl/q5NYrL.

    Per approfondimenti in tema di GDRP, Data Breach e Digital Forensics potete contattarci per email info@studiofiorenzi.it o al 0550351263.

  • Data Protection Officer

    La consulenza in ambito Data Protection prevede la somministrazione di servizi di Datata Protection Officer previsti dal regolamento europeo sulla protezione dei dati. 

    DPO Team la soluzione alla richiesta di DPO con skill eterogenei: IT, Cyber Security, Compliance e Legal.

    Il nuovo regolamento europeo GDPR introduce la figura del Data Protection Officer per le PA e per le aziende con più di 250 unità. La figura del DPO può essere, e spesso si configura così, una figura esterna all'azienda che fornisce maggiori garanzie di terzietà e di indipendenza rispetto alle strutture aziendali. I compiti del Data Protection Officer sono definiti dall'art. 37 del regolamento europeo e sono:

    1. Informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal presente regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;
    2. Sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
    3. Sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;
    4. Garantire la conservazione della documentazione di cui all'articolo 28;
    5. Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;
    6. Controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34;
    7. Controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell'ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta; -fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

    E' chiaro che  il privacy officer deve possedere un'adeguata conoscenza della normativa che regolamenta la gestione dei dati personali per  offrire ai  vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.

    Il nostro studio, grazie alla nostra esperienza in materia è in grado di offrire questo servizio alle aziende che ne faranno richiesta, nella modalità DPO Team offrendo un servizio di eccellenza in termini competenze e disponibilità

     

    contattci      preventivio

     

  • GDPR

    GDPR per tutti, un video per spiegare a tutti cosa vuol dire e cosa significa questa nuova sigla 

  • GDPR: Gestire cyber risk e il data breach dei sistemi informatici

    Lunedì 16 Ordine Avvocati Firenze parleremo di GDPR, Cyber Risk e Data Breach legati alla professione dell'avvocato: problematiche e soluzioni

     

    Locandina GDPR ordine Avvocati Firenze Cyber Risk data breach

  • IKEA usa Windows XP nelle casse self service dei bistrot

    Sembra incredibile che una delle aziende più innovative usi per le casse self service dei bistrot windows XP, ormai fuori supporto dall'aprile 2014 e architetturalmente obsoleto.
    Se vi recate al bistrot IKEA, per intenderci quello dove si possono acquistare hot dog, gelato, pizzette, dovete fare lo scontrino e pagare con le casse self service, non esiste più il cassiere da oltre un anno.

    Attenzione però a usare la vostra carta fedeltà ma sopratutto ad usare la vostra carta di credito perché i preziosi dati della vostra carta sono gestiti da un sistema operativo, Windows XP, che quanta sicurezza e riservatezza dei dati non fornisce alcuna garanzia da oltre tre anni, ma soprattutto non rispetta la legge italiana sulla privacy in particolare l'allegato B testo Unico privacy.

    Ne abbiamo le prove e le pubblichiamo sotto, infatti ci è capitato di scoprire il celato segreto in una domenica pomeriggio in IKEA dove una delle "macchinette" self service era bloccata e magicamente il valoroso commesso si è preoccupato di riavviarla svelando Windows XP.

    cassa self service

    Usare un sistema Windows XP per i pagamenti e per le carte fedeltà è un po' come voler guidare una moderna Formula 1 con oltre 800 cavalli, su un circuito con asfalti, cordoli, corsie, vie di fuga e guard rail di 40 anni fa :nessuno sano di mente farebbe una cosa del genere, troppo pericolosa.

    Eppure di casi come quello di IKEA ce ne sono ce ne sono tanti, basta pensare al mondo della sanità, ai chioschi multifunzione, al settore dell'automazione industriale; sono ambiti assolutamente fuori legge,in cui trovare un Windows XP è normalissimo.

    Anche se l'uso di software datati e non aggiornabili è ben diffuso in questi ambiti, non ho ancora letto di alcuna iniziativa del Garante Privacy Italiano per "imporre" ai produttori di questi dispositivi le stesse regole di adeguamento e patching che dobbiamo rispettare noi nei nostri uffici e aziende. Parlare poi di ispezione del Garante Privacy nei confronti di colossi come IKEA o dei monopoli della sanità, o del mondo industriale è quasi un'eresia, casomai la dovessero fare.... li avvisano prima.

    In ogni caso se siete in IKEA ricordatevi di pagare con i soldi contanti, eviterete rischi inutili alla vostra carta di credito. Magari quel Windows XP della cassa self service usa anche un vecchio rilevatore di banconote false e forse accetta anche le banconote false da €50 che avete comprato su quel sito con estensione .Onion al prezzo di €10 ciascuna, proprio quelle che, almeno fino a qualche anno fa,superavano i controlli di falso semplicemente perché le macchinette non controllavano la lunghezza della banconota che, nel caso specifico risultava più corta di 1,2 mm rispetto a quella vera.

  • Il senato vota la data retantion de traffico dati a 6 anni


    Approvata dal Senato la norma che dispone il cambio dei termini sulla data retention:estesi a sei anni il termine di conservazione dei dati di traffico telefonico e telematico e di quelli relativi alle chiamate senza risposta.
    Una modifica significativa rispetto agli attuali limiti definiti dalla normativa privacy che fissa la data retention in due anni per il traffico telefonico, in un anno per quello telematico e in 30 giorni per le chiamate senza risposta.

  • Il senato vota la data retantion de traffico dati a 6 anni


    Approvata dal Senato la norma che dispone il cambio dei termini sulla data retention:estesi a sei anni il termine di conservazione dei dati di traffico telefonico e telematico e di quelli relativi alle chiamate senza risposta.
    Una modifica significativa rispetto agli attuali limiti definiti dalla normativa privacy che fissa la data retention in due anni per il traffico telefonico, in un anno per quello telematico e in 30 giorni per le chiamate senza risposta.

  • Privacy & GDPR

    La nostra consulenza in tema di Privacy e GDPR, permette di rispondere agli adempimenti Privacy Italiani ed Europei andando e tutelare concretamente le informazioni presenti ed trattate in azienda.
    In tema Privacy, alla normativa Italiana si è andato a sommare il recente Regolamento Europeo sulla Data Protection che  impone alle imprese una revisione radicale della Privacy passando ad modello strutturato di gestione della privacy.

    Il nostro Studio è a vostra disposizione per supportarvi nello sviluppo e nell'implementazione di un Modello di Gestione della Privacy, adeguato al vostro ambito lavorativo, che,  rispetti gli obblighi di legge ma non sia di ostacolo al business.

    La nostra consulenza si sviluppa in alcune giornate di affiancamento al vostro personale al fine d'individuare e definire:

    - Organigramma Privacy
    - Classificazione di dati e Trattamenti
    - Analisi dei Rischi Privacy
    - Misure di Sicurezza
    - Informativa Privacy e Consenso Privacy
    - Incarichi e Nomine Privacy
    - Procedure e Istruzioni Privacy
    - Formazione Privacy
    - DPS o Relazione sul Sistema di Gestione Privacy
    - Notificazioni al Garante Privacy
    - Richieste di Autorizzazioni Privacy
    - Audit e Verifiche Privacy

     

    In ragione delle specificità dell'azienda e delle necessità del cliente e della specificità di alcuni trattamenti,  andremo a declinare il Modello di Gestione Privacy  nelle strutture aziendali interessate:

    - Direzione Personale
    - Direzione IT
    - Direzione Legale
    - Direzione Commerciale e Marketing

     

    Lo Studio, oltre a fornire un affiancamento in termini di consulenza,   può fornire il servizio in outsourcing, sollevandovi dalla gestione di tutti gli oneri normativi che in tal caso saranno gestiti dal nostro studio per vostro conto.

    contattci      preventivio
  • Prove di GRDPR Databreach... Garante Italiano troppo lento!

    Wind Tre dovrà comunicare per iscritto agli oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti.

    Lo ha stabilito con estremo ritardo il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso. Se queste sono le prove tecniche di GDRP e gestione del data breach iniziamo male. Nel mondo interconnesso di oggi nessuno, neanche il Garante Privacy si può permettere di essere lento in particolare quando la questione riguarda il furto di dati personali. Tempestività è una delle parole chiave del GDPR per la gestione di un breach ed è chiaro che è mancata, 1 mese e mezzo non è certo un indicatore di tempestività.
    L'altro concetto chiave è "digital investigation"; l'ispezione del garante ha accertato come i dati dei 5000 clienti fossero presenti in un file generato nel corso di un intervento tecnico che per errore non era stato cancellato a termine delle operazioni ed era divenuto oggetto di furto. Purtroppo però non ha chiarito come e da dove "ignoti" si siano potuti introdurre nei sistemi di Wind Tre per poter sottrarre quel file.

    Le aziende, anche nelle più grandi, continuano a concentrarsi esclusivamente sull’aspetto tecnologico di difesa informatica, la cyber difesa, falsamente rassicurati dal marketing di vendor e consulenti cyber, si illudono di non poter essere attaccati e di non correre rischi.

    Troppo spesso questa falsa sicurezza fa si che si scelga di non si predisporre nè di formare team dedicati alla gestione degli incidenti, che abbiamo le competenze e gli strumenti per il monitoraggio, la tracciatura, indagine e raccolta delle digital evidence per un'analisi forense di un attacco informatico.
    Un Team CSIRT oltre a monitorare la sicurezza aziendale e monitorarne eventuali compromissioni, deve essere in grado di dare seguito ad una indagine forense su un data breach o un leak per eventualmente poter avviare la tutela legale e assicurativa nel post incidente.

  • QR Corde Carta di Imbarco e ... so chi sei!

    Dammi il QR Code della tua carta di imbarco e ti dirò chi sei!, Potrebbe essere la prima cosa che ci viene in mente a vedere il video di USA Today a questo link https://youtu.be/PdLfmR8CKT4

    Purtroppo non c'è da ridere, la scansione del QR Code delle carte di imbarco negli USA da accesso ad un numero spropositato di informazioni sul titolare della carta, non è un data breach ma potremmo dire che ha la stessa portata.Con questo sarebbe interessante fare la stessa prova sulle carte di imbarco Europee per magari scoprire che anche da noi riusciamo ad acquisire dati personali dal QRcode.

    Ho voluto fare la prova, usando google per cercare le carte di imbarco di alcune compagnie europee, e naturalmente qualche QRCode autentico lo troviamo senza grandi problemi. Leggendo il QRcode di queste carte di imbarco si scopre che ad esempio Lufthansa e RayanAir non mettono alcun dato del titolare del biglietto nel QRCode, riportano solo i dati del viaggio. Alitalia invece si distingue dalle altre. Infatti ho trovato online con google un biglietto Alitalia con QRCode che trovate a questo link Se leggete il QRCode con una qualunque App, viene fuori "M1CASSANELLO/NICOLA FCONRTAZ 0782 261Y018L000431010". E' chiaro che il biglietto è di Cassanello Nicola, gli altri dati non li so decifrare, potrà sembrare una banalità, qualcuno dirà sicuramente cosa vuoi che sia, ma se Lufthansa e RayanAir non riportano nome e cognome prechè mai Alitalia lo fa? si chiama pseudonimizzazione,... un concetto che troviamo nel GDPR e che aiuta la privacy delle persone.

    E' chiaro che negli USA siamo ben lontani dalla protezione dei dati personali che conosciamo in Italia (Alitalia esclusa :-) ) e in Europa. Alcuni concetti basilari introdotti dal GDPR come secuirty by default e by design, o Privacy Impact assessment, introdotti dal GDPR Europeo, rappresentano l'avanguardia di una tutela a cui gli USA e sicuramente anche altri paesi dovrebbero forse ispirarsi.

    In ogni caso quando ci viene consegnato un biglieto o un documento con un QRCode.... provete a leggerlo con la vostra App.... potreste avere delle sorprese!

  • SMAU 2017 Milano: GDR & Forensics Readiness

    Forensics Readiness

    Per chi si fosse perso il nostro Talk a SMAU Milano 2017? GDPR & Forensics Readiness..., o volesse rivedere il materiale, abbiamo pubblicato su Slideshare le slide.

    Visto l'intesse che ha suscitato il talk siamo a disposizione per approfondire il tema con chiunque sia interessato, nella sezione contatti trovate tutti i nostri riferimenti

    https://www.slideshare.net/AlessandroFiorenzi/gdpr-forensics-readiness