1. Data Breach: nuovo provvedimento delGarante Privacy: La
risposta di DFlabs Dario V Forte, CISM, CFE, CGEIT Founder and
CEODFLabs www.dfdlabs.com
2. About DFLabs Specializzata in Governance Risk and
Compliancedal 2004 Tre practices: Consulting, Professional Services
&Technologies Fortune 1000 Customers. Sedi in Italia, USA,
Russia. Due Patent Pending negli USA ed Europa.
3. Agenda Il nuovo provvedimento del Garante Privacy inmateria
di data breach I rischi di tipo normativo e sanzionatorio La
proposta di Dflabs in materia di Data BreachInvestigations:
Consulenza, Servizi e SoftwareDedicato. Contatti e demo: IncMan
Suite.
5. Data Breach e Garante PrivacyIn caso di distruzione o
perdita dei dati personali societ telefonichee Internet provider
avranno lobbligo di avvisare gli utentiSociet telefoniche e
Internet provider dovranno assicurare la massimaprotezione ai dati
personali perch tra i loro nuovi obblighi ci sar quello diavvisare
gli utenti dei casi pi gravi di violazioni ai loro data base
chedovessero comportare perdita, distruzione o diffusione indebita
di dati.In attuazione della direttiva europea in materia di
sicurezza e privacy nelsettore delle comunicazioni elettroniche, di
recente recepita dallItalia, ilGarante per la privacy ha fissato un
primo quadro di regole in base allequali le societ di tlc e i
fornitori di servizi di accesso a Internet sarannotenuti a
comunicare, oltre che alla stessa Autorit, anche agli utentile
"violazioni di dati personali" ("data breaches") che i loro data
basedovessero subire a seguito di attacchi informatici, o di eventi
avversi, qualiincendi o altre calamit.
6. Incombenze (1) Chi deve comunicare le violazioniLobbligo di
comunicare le violazione di dati personali spettaesclusivamente ai
fornitori di servizi telefonici e di accesso aInternet.
Ladempimento non riguarda al momento - le reti aziendali,
gliInternet point (che si limitano a mettere a disposizione dei
clientii terminali per la navigazione), i motori di ricerca, i siti
Internetche diffondono contenuti.
7. Incombenze (2) La comunicazione al GaranteLa comunicazione
della violazione dovr avvenire in manieratempestiva: entro 24 ore
dalla scoperta dellevento, aziende tlc eInternet provider dovranno
fornire le informazioni per consentire unaprima valutazione
dellentit della violazione (tipologia dei daticoinvolti,
descrizione dei sistemi di elaborazione, indicazione delluogo dove
avvenuta la violazione). Aziende telefoniche o internet provider
avranno 3 giorni di tempoper una descrizione pi dettagliata. Per
agevolare ladempimento ilGarante ha predisposto un modello di
comunicazione disponibileon line sul suo sito
(www.garanteprivacy.it) Allesito delle verifiche, i provider
dovranno comunicare al Garante lemodalit con le quali hanno posto
rimedio alla violazione e le misureadottate per prevenirne di
nuove.
8. Incombenze (3)La comunicazione agli utenti Nei casi pi
gravi, oltre al Garante, le societ telefoniche e gli Isp avranno
lobbligo di informare anche ciascun utente delle violazioni di dati
personali subite. I criteri per la comunicazione dovranno basarsi
sul grado di pregiudizio che la perdita o la distruzione dei dati
pu comportare (furto di identit, danno fisico, danno alla
reputazione), sulla "attualit" dei dati (dati pi recenti possono
rivelarsi pi interessanti per i malintenzionati), sulla qualit dei
dati (finanziari, sanitari, giudiziari etc.), sulla quantit dei
dati coinvolti. La comunicazione agli utenti deve avvenire al
massimo entro 3giorni dalla violazione e non dovuta se si dimostra
di aver utilizzatomisure di sicurezza e sistemi di cifratura e di
anonimizzazione cherendono inintelligibili i dati.
9. Incombenze (4)I controlli del Garante Per consentire
lattivit di accertamento del Garante, i providerdovranno tenere un
inventario costantemente aggiornato delleviolazioni subite che dia
conto delle circostanze in cui queste si sonoverificate, le
conseguenze che hanno avuto e i provvedimentiadottati a seguito del
loro verificarsi.Le sanzioni Non comunicare al Garante la
violazione dei dati personali oprovvedere in ritardo espone a una
sanzione amministrativa cheva da 25mila a 150mila euro. Stesso
discorso per la omessa omancata comunicazione agli interessati,
siano essi soggettipubblici, privati o persone fisiche: qui la
sanzione prevista va da 150euro a 1000 euro per ogni societ o
persona interessata. Lamancata tenuta dellinventario aggiornato
punita con lasanzione da 20mila a 120mila euro.
10. Cosa comporta ideare e individuare contromisure Conoscenza
approfondita della matrice target/rischio Conoscenza adeguata delle
tipologie di contromisuredisponibili nei seguenti settori:
Organization and Technology soluzioni assicurative soluzioni
contrattuali controllo interno Committment aziendale almeno a
C-Level
11. DFLabs Background DFLabs preferred partner di Beazely
International (lloyds of London)per le Data Breach Investigations.
Lazienda specializzata a livello internazionale in
Organizzazione,Politiche, Procedure e Technologies di Incident
Management e DataBreach Oltre 2.3 Petabytes di Incident and Data
Breach Investigati negli ultimi3 anni. Membri ISO. Co/Editor della
27043 e 27031 Oltre 250 clienti di fascia alta in tutto il mondo
nello specifico settore.
12. La proposta di DFlabs DFLabs propone una soluzione alla
gestione deiData Breach su tre livelli: Organizzativo/Procedurale
Software dedicato allinventario e al reporting. Servizi di supporto
Data Breach Response
13. Workflow ManagementProcessi, Procedure ed operativit
Qualifica del livello diProcesso di gestioneProcesso di Reazione
severity degli incidenti IODEF Engagement ed Procedure di reazione
in NISTescalation base alla severity ITIL v3 (se richiesto)
Rapporti con lAG/PG Reazione Vs Mappatura di quanto Rapporti con
gli organi di Hacking/Malicious Code esistente o creazione del
vigilanza interni ed Reazione Vs Attacchi Su modello esterniTarget
Cliente Processo di Digital Reazione VS attacchi su Forensics.
target esterni Training and Testing
14. LInventario degli incidenti:IncMan Suite - Modules
CompRiskIncidents are mapped to IT risk repositories and help the
GRC team to evaluate incidents risk to the organization DIMIMAN
ITILityDigital Investigation Manager IMAN manages IT and
corporateITILity provides troubleshooting(DIM) is designed for
ITsecurity incidents. The tool coversand help desk support to
manageenvironments during incidentall aspects concerning incidentIT
incidents under the ITILresponse and forensics
operations.management whether simple or standardDIM enables users
to catalog allcomplex. The IMAN modulethe relevant information
andsupports anonymous reporting ofautomatically imports
dataincidents and ethics violations.generated by other
applications.
15. IncMan Top FeaturesGestisce oltre 170 categorie di dati su
di un encrypted databaseCompleto Role Management .Totalmente
clientless.IODEF CompliantIT GRC Features: Ipu contenere un numero
illlimitato di controlli IT, Security e complianceWizard il Cliente
puo creare una serie illimitata di template completamente
riutilizzabiliKnowledge base il Cliente pu fruire di un repository
dinamico di documenti, politiche e procedure facilmente
consultabili dagli utenti autorizzatiAgile reporting Oltre 100
report customizzabili dal Cliente gi pronti allusoSecure access
varie tipologie di autenticazione disponibiliCase notes possibile
gestire i casi, gli incidenti, gli inventari e le comunicazioni in
totale autonomia.Open Architecture: pu interagire automaticamente
con linfrastruttura di sicurezza esistente in aziendaSaas and Cloud
Ready: fornisce al Cliente un nuovo ventaglio di opportunit di
business. I Clienti possono fruire di varie viste, dal management,
alla dashboard allaccesso read only.Page 15
16. IncMan Suite integrationsLog management/SIEM management
Arcsight Xpolog Envision Symantec AV/UTM/IPS/IDS Basically all the
SIEM that can generate parsable content-Vulnerability Assessment
tools: Nessus & co.Forensic and Incident Response products
Encase Enterprise PTK FTK X-Ways Oxygen Hardware acquisition tools
(SOLO3, SOLO4, Tableau TD1, Logicube) MobileNetwork forensic
Netwitness Page 16
17. IncMan Suite - Comprehensive Security Incident
ManagementSecurity Operations CentersInvestigations, Risk, Audit
and Compliance Officers Prioritization | Case Mgmt | Artifact
Analysis | Resource/Task Mgmt Impact/Cost Analysis | Evidence/Chain
of Custody | External/Law EnforcementSecurity IncidentsCompliance
Incidents Security Incidents Log Web/ApplWhistle Blower
SIEMManagement ScanningERP & HR LocationsConfigurationIdentity
&VulnerabilityManagementAccess Management Health and Safety
Forensic, Audit, e-DiscoveryFirewall / IPSAnti-Virus &
End-Point/ IDS White Listing SecurityFinancial Systems IT Security,
APT, Incident Fraud, Theft & Physical Security
ResponseInvestigations Page 17
18. Example CSIRT/SOC:Incident Information flowCSIRT/SOC
Operators and Incident A Supervisors (Internal)C-LevelDashboard
ReportsEnd UsersInformationAutomation AuthoritiesIncident
B(Customers)Data searchService Follow UpIncident C(Blended)Page
18
19. IncMan Suite DashboardLa Dashboard stata disegnata per
conferire il massimo impatto visuale in un formatoimmediatamente
comprensibile, unitamente alluso di metriche e KPI;Tutte le
categorie di dati gestiti da IncMan possono confluire in
roadmapSono disponibili, on the shelf, una serie di grafici gi
pronti per luso immediato.Page 19
20. Dflabs Incman a supporto della Compliance Inventario
Completo degli incidenti (oltre 170 categorie di informazioni)
Reportistica completa nei confonti di Garante, organi di controllo
edutenti finali GRC Features (Controlli IT Security a dimostrazione
delle contromisureadottate in caso di Data Breach) Security Asset
Management Interazione automatica con linfrastruttura di sicurezza
del Cliente
21. Dflabs Incman: generazione report per il Garante PrivacyIn
sede di reportistica,loperatore sceglie di inviare il report al
Garante Privacy
22. Dflabs Incmana supporto della ComplianceIl template
(Customizable) totalmente mappatosulle istruzioni fornite dal
Garante
23. Dflabs Incman a supporto della ComplianceLe
informazionicontenute nel Reportvengonoautomaticamentememorizzate
suldatabase protettodellapplicazione.
24. Esempio di Pdf generatodallapplicazione (excerpt)
25. Conclusioni Il Risk Response ormai divenuto un must e,
perquanto riguarda linformation security, rientra nelladisciplina
dellincident management Richiede un impiego di risorse di varia
provenienza eun budget adeguato Laspetto tecnologico sicuramente
abilitante e vasviluppato in parallelo rispetto a quello
organizzativo richiesta la massima consapevolezza da partedegli
utenti finali Dflabs in grado di fornire un package completo peril
supporto al Cliente su ogni tipo di Data Breach
26. THANKSDario V Forte, CFE, CISM. CGEIT, Founder and Ceo
DFLabs Italy, [email protected]