1. 1. Data Breach: nuovo provvedimento delGarante Privacy: La risposta di DFlabs Dario V Forte, CISM, CFE, CGEIT Founder and CEODFLabs www.dfdlabs.com
2. 2. About DFLabs Specializzata in Governance Risk and Compliancedal 2004 Tre practices: Consulting, Professional Services &Technologies Fortune 1000 Customers. Sedi in Italia, USA, Russia. Due Patent Pending negli USA ed Europa.
3. 3. Agenda Il nuovo provvedimento del Garante Privacy inmateria di data breach I rischi di tipo normativo e sanzionatorio La proposta di Dflabs in materia di Data BreachInvestigations: Consulenza, Servizi e SoftwareDedicato. Contatti e demo: IncMan Suite.
4. 4. Risk Mitigation BenchmarkFonte: Dflabs&TerremarkIncidentITPrevention andSecurityProcessPreparationManagement and(IncludingSupport, includingEnterprise Forensics andvulnerabilityBusiness Fraud) Securitymanagement ApplicationIncident Security Response andManagementinvestigation Business Risk Management,(Including Policy, standards, Technologies, Legal and guidelines Forensics andFraud) Page 4
5. 5. Data Breach e Garante PrivacyIn caso di distruzione o perdita dei dati personali societ telefonichee Internet provider avranno lobbligo di avvisare gli utentiSociet telefoniche e Internet provider dovranno assicurare la massimaprotezione ai dati personali perch tra i loro nuovi obblighi ci sar quello diavvisare gli utenti dei casi pi gravi di violazioni ai loro data base chedovessero comportare perdita, distruzione o diffusione indebita di dati.In attuazione della direttiva europea in materia di sicurezza e privacy nelsettore delle comunicazioni elettroniche, di recente recepita dallItalia, ilGarante per la privacy ha fissato un primo quadro di regole in base allequali le societ di tlc e i fornitori di servizi di accesso a Internet sarannotenuti a comunicare, oltre che alla stessa Autorit, anche agli utentile "violazioni di dati personali" ("data breaches") che i loro data basedovessero subire a seguito di attacchi informatici, o di eventi avversi, qualiincendi o altre calamit.
6. 6. Incombenze (1) Chi deve comunicare le violazioniLobbligo di comunicare le violazione di dati personali spettaesclusivamente ai fornitori di servizi telefonici e di accesso aInternet. Ladempimento non riguarda al momento - le reti aziendali, gliInternet point (che si limitano a mettere a disposizione dei clientii terminali per la navigazione), i motori di ricerca, i siti Internetche diffondono contenuti.
7. 7. Incombenze (2) La comunicazione al GaranteLa comunicazione della violazione dovr avvenire in manieratempestiva: entro 24 ore dalla scoperta dellevento, aziende tlc eInternet provider dovranno fornire le informazioni per consentire unaprima valutazione dellentit della violazione (tipologia dei daticoinvolti, descrizione dei sistemi di elaborazione, indicazione delluogo dove avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempoper una descrizione pi dettagliata. Per agevolare ladempimento ilGarante ha predisposto un modello di comunicazione disponibileon line sul suo sito (www.garanteprivacy.it) Allesito delle verifiche, i provider dovranno comunicare al Garante lemodalit con le quali hanno posto rimedio alla violazione e le misureadottate per prevenirne di nuove.
8. 8. Incombenze (3)La comunicazione agli utenti Nei casi pi gravi, oltre al Garante, le societ telefoniche e gli Isp avranno lobbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati pu comportare (furto di identit, danno fisico, danno alla reputazione), sulla "attualit" dei dati (dati pi recenti possono rivelarsi pi interessanti per i malintenzionati), sulla qualit dei dati (finanziari, sanitari, giudiziari etc.), sulla quantit dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3giorni dalla violazione e non dovuta se si dimostra di aver utilizzatomisure di sicurezza e sistemi di cifratura e di anonimizzazione cherendono inintelligibili i dati.
9. 9. Incombenze (4)I controlli del Garante Per consentire lattivit di accertamento del Garante, i providerdovranno tenere un inventario costantemente aggiornato delleviolazioni subite che dia conto delle circostanze in cui queste si sonoverificate, le conseguenze che hanno avuto e i provvedimentiadottati a seguito del loro verificarsi.Le sanzioni Non comunicare al Garante la violazione dei dati personali oprovvedere in ritardo espone a una sanzione amministrativa cheva da 25mila a 150mila euro. Stesso discorso per la omessa omancata comunicazione agli interessati, siano essi soggettipubblici, privati o persone fisiche: qui la sanzione prevista va da 150euro a 1000 euro per ogni societ o persona interessata. Lamancata tenuta dellinventario aggiornato punita con lasanzione da 20mila a 120mila euro.
10. 10. Cosa comporta ideare e individuare contromisure Conoscenza approfondita della matrice target/rischio Conoscenza adeguata delle tipologie di contromisuredisponibili nei seguenti settori: Organization and Technology soluzioni assicurative soluzioni contrattuali controllo interno Committment aziendale almeno a C-Level
11. 11. DFLabs Background DFLabs preferred partner di Beazely International (lloyds of London)per le Data Breach Investigations. Lazienda specializzata a livello internazionale in Organizzazione,Politiche, Procedure e Technologies di Incident Management e DataBreach Oltre 2.3 Petabytes di Incident and Data Breach Investigati negli ultimi3 anni. Membri ISO. Co/Editor della 27043 e 27031 Oltre 250 clienti di fascia alta in tutto il mondo nello specifico settore.
12. 12. La proposta di DFlabs DFLabs propone una soluzione alla gestione deiData Breach su tre livelli: Organizzativo/Procedurale Software dedicato allinventario e al reporting. Servizi di supporto Data Breach Response
13. 13. Workflow ManagementProcessi, Procedure ed operativit Qualifica del livello diProcesso di gestioneProcesso di Reazione severity degli incidenti IODEF Engagement ed Procedure di reazione in NISTescalation base alla severity ITIL v3 (se richiesto) Rapporti con lAG/PG Reazione Vs Mappatura di quanto Rapporti con gli organi di Hacking/Malicious Code esistente o creazione del vigilanza interni ed Reazione Vs Attacchi Su modello esterniTarget Cliente Processo di Digital Reazione VS attacchi su Forensics. target esterni Training and Testing
14. 14. LInventario degli incidenti:IncMan Suite - Modules CompRiskIncidents are mapped to IT risk repositories and help the GRC team to evaluate incidents risk to the organization DIMIMAN ITILityDigital Investigation Manager IMAN manages IT and corporateITILity provides troubleshooting(DIM) is designed for ITsecurity incidents. The tool coversand help desk support to manageenvironments during incidentall aspects concerning incidentIT incidents under the ITILresponse and forensics operations.management whether simple or standardDIM enables users to catalog allcomplex. The IMAN modulethe relevant information andsupports anonymous reporting ofautomatically imports dataincidents and ethics violations.generated by other applications.
15. 15. IncMan Top FeaturesGestisce oltre 170 categorie di dati su di un encrypted databaseCompleto Role Management .Totalmente clientless.IODEF CompliantIT GRC Features: Ipu contenere un numero illlimitato di controlli IT, Security e complianceWizard il Cliente puo creare una serie illimitata di template completamente riutilizzabiliKnowledge base il Cliente pu fruire di un repository dinamico di documenti, politiche e procedure facilmente consultabili dagli utenti autorizzatiAgile reporting Oltre 100 report customizzabili dal Cliente gi pronti allusoSecure access varie tipologie di autenticazione disponibiliCase notes possibile gestire i casi, gli incidenti, gli inventari e le comunicazioni in totale autonomia.Open Architecture: pu interagire automaticamente con linfrastruttura di sicurezza esistente in aziendaSaas and Cloud Ready: fornisce al Cliente un nuovo ventaglio di opportunit di business. I Clienti possono fruire di varie viste, dal management, alla dashboard allaccesso read only.Page 15
16. 16. IncMan Suite integrationsLog management/SIEM management Arcsight Xpolog Envision Symantec AV/UTM/IPS/IDS Basically all the SIEM that can generate parsable content-Vulnerability Assessment tools: Nessus & co.Forensic and Incident Response products Encase Enterprise PTK FTK X-Ways Oxygen Hardware acquisition tools (SOLO3, SOLO4, Tableau TD1, Logicube) MobileNetwork forensic Netwitness Page 16
17. 17. IncMan Suite - Comprehensive Security Incident ManagementSecurity Operations CentersInvestigations, Risk, Audit and Compliance Officers Prioritization | Case Mgmt | Artifact Analysis | Resource/Task Mgmt Impact/Cost Analysis | Evidence/Chain of Custody | External/Law EnforcementSecurity IncidentsCompliance Incidents Security Incidents Log Web/ApplWhistle Blower SIEMManagement ScanningERP & HR LocationsConfigurationIdentity &VulnerabilityManagementAccess Management Health and Safety Forensic, Audit, e-DiscoveryFirewall / IPSAnti-Virus & End-Point/ IDS White Listing SecurityFinancial Systems IT Security, APT, Incident Fraud, Theft & Physical Security ResponseInvestigations Page 17
18. 18. Example CSIRT/SOC:Incident Information flowCSIRT/SOC Operators and Incident A Supervisors (Internal)C-LevelDashboard ReportsEnd UsersInformationAutomation AuthoritiesIncident B(Customers)Data searchService Follow UpIncident C(Blended)Page 18
19. 19. IncMan Suite DashboardLa Dashboard stata disegnata per conferire il massimo impatto visuale in un formatoimmediatamente comprensibile, unitamente alluso di metriche e KPI;Tutte le categorie di dati gestiti da IncMan possono confluire in roadmapSono disponibili, on the shelf, una serie di grafici gi pronti per luso immediato.Page 19
20. 20. Dflabs Incman a supporto della Compliance Inventario Completo degli incidenti (oltre 170 categorie di informazioni) Reportistica completa nei confonti di Garante, organi di controllo edutenti finali GRC Features (Controlli IT Security a dimostrazione delle contromisureadottate in caso di Data Breach) Security Asset Management Interazione automatica con linfrastruttura di sicurezza del Cliente
21. 21. Dflabs Incman: generazione report per il Garante PrivacyIn sede di reportistica,loperatore sceglie di inviare il report al Garante Privacy
22. 22. Dflabs Incmana supporto della ComplianceIl template (Customizable) totalmente mappatosulle istruzioni fornite dal Garante
23. 23. Dflabs Incman a supporto della ComplianceLe informazionicontenute nel Reportvengonoautomaticamentememorizzate suldatabase protettodellapplicazione.
24. 24. Esempio di Pdf generatodallapplicazione (excerpt)
25. 25. Conclusioni Il Risk Response ormai divenuto un must e, perquanto riguarda linformation security, rientra nelladisciplina dellincident management Richiede un impiego di risorse di varia provenienza eun budget adeguato Laspetto tecnologico sicuramente abilitante e vasviluppato in parallelo rispetto a quello organizzativo richiesta la massima consapevolezza da partedegli utenti finali Dflabs in grado di fornire un package completo peril supporto al Cliente su ogni tipo di Data Breach
26. 26. THANKSDario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy, Info@dflabs.comwww.dflabs.com