Questo libro si rivolge a chi non abbia una specifica competenza nell’ambito della sicurezza ed è chiamato, a vario titolo, a tutelare:
- i dati personali e i diritti e le libertà delle persone fisiche (in quanto Titolare, DPO, Responsabile…), secondo quanto previsto dalla normativa privacy
- i beni della propria organizzazione, (gli asset aziendali, in quanto imprenditore, professionista, dirigente della PA…)
- il know how aziendale.
Il libro è anche utile a quanti sono demandati a fornire supporto a tali soggetti nella valutazione del rischio e nella scelta e implementazione delle misure di sicurezza più idonee, permettendo di condividere un linguaggio comune il più possibile privo di una terminologia gergale.
Sono descritti, con linguaggio semplice, semplificato, discorsivo e, per quanto possibile, privo di termini tecnici, tutti i principali aspetti relativi alla sicurezza ed alla protezione dei beni materiali ed immateriali, compresi i dati personali, che costituiscono il patrimonio di un’organizzazione.
Un approccio didattico, che può agevolare nel loro lavoro anche i professionisti della sicurezza, che trovano in questo testo uno strumento per presentare argomenti non sempre facili da spiegare.
La prospettiva del libro è quella di dare indicazioni sulla gestione di rischi aziendali e delle relative contromisure nell’ottica di una visione sinergica, tesa a proteggere:
- gli asset aziendali
- i dati personali
- i diritti e le libertà delle persone fisiche
- il know how aziendale
- al fine di tutelare l’azienda rispetto a:
- perdite: economiche, di immagine, di clientela, di know how
- contenziosi legali
- sanzioni:economiche, penali, blocco dei trattamenti.
I CONTENUTI DEL LIBRO
Il libro è composto da due parti.
Prima parte
La prima parte comprende una serie di capitoli descrittivi e didattici che descrivono il processo di valutazione del rischio sia dal punto di vista dei beni aziendali, sia dal punto di vista della normativa privacy (tutela dei diritti e delle libertà fondamentali delle persone fisiche).
Non trattandosi di un libro tecnico la modalità di presentazione delle informazioni vuole essere semplice e schematica, quasi una sorta di presentazione, una sequenza di slide e di tabelle che in breve esprimono i concetti più importanti.
Sta poi alla volontà del lettore approfondire le nozioni presentate nella parte descrittiva del testo; ulteriori approfondimenti sono possibili consultando la documentazione disponibile:
- nella seconda parte del libro e nelle appendici
- gratuitamente sui siti selezionati alla fine del testo.
La prima parte del libro è costituita da alcuni capitoli, corrispondenti ad altrettante fasi di un’analisi dei rischi.
Nel capitolo “Gli asset da proteggere” l’attenzione è focalizzata sulla identificazione degli asset aziendali, sulla loro valorizzazione, sulle loro interazioni. L’identificazione dei beni materiali da proteggere è relativamente semplice. Per quanto riguarda le informazioni (beni immateriali), l’indagine consente di individuare dove queste siano presenti all’interno dell’azienda: documenti, sistema informativo, prassi aziendale, conoscenze e competenze dei collaboratori, prototipi…; le informazioni sono quindi all’interno di asset materiali o costituiscono conoscenze e competenze di qualcuno.
Fra le informazioni sono ricompresi i dati personali, oggetto di particolare tutela in quanto presidiato da una corposa normativa, la cui violazione potrebbe avere conseguenza sui diritti e le libertà fondamentali delle persone fisiche (il vero oggetto di tutela della normativa privacy).
Nel capitolo “La gestione del rischio” si passa ad analizzare quelli che sono rischi, minacce, vulnerabilità…
Un bene materiale può essere rubato, danneggiato, distrutto; anche un’informazione può essere sottratta o cancellata, ma può anche essere copiata o intercettata senza alterare l’originale e quindi, senza che il proprietario se ne accorga.
Le minacce che incombono sulle informazioni sono quindi più estese e numerose di quelli dei beni materiali che le contengono.
La distruzione di un server ha un impatto sia per il valore intrinseco del bene, sia per quello dei dati in esso contenuti. Se quel server eroga un servizio importante per l’azienda (o per i suoi clienti), potrebbero esserci ulteriori conseguenze, quali l’interruzione del servizio, con ripercussioni di tipo economico, legale e di immagine.
Se i dati compromessi comprendessero anche dati personali, potrebbero esserci inoltre conseguenze sui diritti e le libertà delle persone fisiche.
L’analisi dei rischi connessa ad esempio alla perdita di un bene non si può limitare alla semplice valorizzazione monetaria dell’asset, ma deve valorizzare anche il reale impatto sul business aziendale, nonché sui diritti e le libertà delle persone fisiche.
Questa valorizzazione è indispensabile per permettere una corretta valutazione dei costi e benefici delle possibili contromisure, tenendo presente che i rischi sui diritti e le libertà delle persone fisiche, non sono rischi aziendali (e quindi nella disponibilità dell’azienda) e che quindi la loro gestione ha implicazioni specifiche.
Ad esempio, nel caso di rischio elevato la normativa prevede una specifica serie di adempienti, quali l’esecuzione di una DPIA.
Nel capitolo “Le misure di sicurezza” sono presentate numerose contromisure di natura organizzativa, fisica e logica ed i relativi processi di gestione. È inoltre presente una raccolta di “Norme di comportamento”, che possono essere distribuite ai propri collaboratori. Non si entra tuttavia nel dettaglio tecnico delle soluzioni, in quanto tale attività presuppone competenze specifiche.
Per l’implementazione delle contromisure tecniche è necessario rivolgersi a specialisti, mentre da subito è possibile mettere in atto contromisure di tipo organizzativo e comportamenti che possono ridurre notevolmente i rischi.
Ad esempio, per un commercialista la semplicissima regola di conservare presso il proprio studio solo le fotocopie dei documenti utili alla compilazione della dichiarazione dei redditi dei propri clienti, limita notevolmente il rischio legato alla loro distruzione o perdita (e le relative conseguenze legali, di immagine, ed economiche).
Il capitolo “Le normative sulla sicurezza” illustra le numerose normative che interessano la sicurezza in azienda: il GDPR, il D.lgs. 196/03, i numerosi Provvedimenti del Garante per la protezione dei dati personali, la normativa sui crimini informatici, quella sulla responsabilità amministrativa delle aziende, quella sulla firma digitale…
Parte seconda e appendici: strumenti operativi
Nella seconda parte del libro sono raccolte una serie di schede operative utili per il censimento degli asset aziendali e per la valorizzazione del rischio. In questo modo il lettore può fare immediatamente una prima analisi della propria situazione, valutando la propria esposizione al rischio e individuando le opportune contromisure.
Giancarlo Butti (giancarlo.butti@promo.it)
(LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPO, DPO, CBCI, AMBCI
Master in Gestione aziendale e Sviluppo Organizzativo (MIP – Politecnico di Milano).
Referente ESG(*) (Environmental, Social e Governance) e Inclusion del Comitato Scientifico del CLUSIT.
Si occupa di ICT, organizzazione e normativa dai primi anni 80:
- analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
- consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Come divulgatore ha all’attivo:
- oltre 800 articoli su 40 diverse testate
- 26 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
- 27 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT sulla sicurezza ICT in Italia
- relatore in oltre 170 eventi presso ABI, ISACA/AIEA, AIIA, ORACLE, CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA, UNISEF, PARADIGMA…
- già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer
- docente in master e corsi di perfezionamento post-universitario in diversi atenei:
- Master di II livello in “Data Protection Officer e Diritto della privacy” dell’Università degli Studi Suor Orsola Benincasa – Napoli
- Corso di Perfezionamento in Data Protection e Data Governance dell’Università degli Studi di Milano
- Percorso di Alta Formazione Data Protection Officer del Cefriel
- Master di Specializzazione per Responsabili della Protezione dei Dati Personali dell’UNISEF
- Percorso DPO e dell’Osservatorio Information Security & Privacy del Politecnico di Milano
- Analisi e gestione del rischio all’Università Statale di Milano
- Master Risk management, internal audit & frodi della Ca Foscari Challenge School.
Socio e già proboviro di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica), di DFA (www.perfezionisti.it – Digital Forensics Alumni ), di ACFE (https://www.acfecentral.it/- Association of Certified Fraud Examiner).e di BCI (www.thebci.org – Business Continuity Institute).
Partecipa a diversi gruppi di lavoro di ABI LAB, di ISACA-AIEA, del CLUSIT…
(*) Già ricercatore nell’ambito delle energie rinnovabili (UNESCO – International directory of new and renewable energy information sources and research centers, 1986)
PRESENTAZIONE DELLA SECONDA EDIZIONE. 9
PRESENTAZIONE DELLA PRIMA EDIZIONE. 10
PRESENTAZIONE DI PAOLO GIUDICE. 10
RECENSIONE DI SILVANO ONGETTA.. 10
INTRODUZIONE. 12
I CONTENUTI DEL LIBRO.. 13
PARTE PRIMA.. 16
GLI ASSET DA PROTEGGERE. 17
GLI ASSET DAL PUNTO DI VISTA DELL’AZIENDA.. 17
I BENI MATERIALI 18
I BENI IMMATERIALI 19
LA CONOSCENZA.. 23
IL CAPITALE INTELLETTUALE. 23
LA CLASSIFICAZIONE DELLE INFORMAZIONI 26
I DOCUMENTI 27
I DOCUMENTI ELETTRONICI 28
IL SISTEMA INFORMATIVO.. 29
IL CICLO DI VITA DELLE INFORMAZIONI 31
IL CAPITALE UMANO.. 33
ALTRI ASSET. 35
METODOLOGIA ENISA PER LE PMI 36
LA COLLOCAZIONE DEI BENI AZIENDALI 37
LA VERIFICA DOCUMENTALE. 37
GLI ASSET DAL PUNTO DI VISTA DELLA NORMATIVA PRIVACY. 39
L’AMBITO DI TUTELA.. 39
I SOGGETTI TUTELATI 40
LA GESTIONE DEL RISCHIO.. 42
L’ANALISI DEL RISCHIO.. 42
I RISCHI 44
CORRELAZIONE FRA ASSET. 45
LE MINACCE NEI CONFRONTI DEI BENI MATERIALI 46
LE MINACCE NEI CONFRONTI DEI BENI IMMATERIALI 47
EVENTI CORRELATI AL PERSONALE. 49
I REQUISITI DI SICUREZZA.. 54
METODOLOGIA ENISA PER LE PMI 56
GLI IMPATTI PER L’AZIENDA.. 57
CORRELAZIONE FRA IMPATTI 57
LE MINACCE. 61
MINACCE AMBIENTALI 61
MINACCE INDUSTRIALI 62
MINACCE – GUASTI 63
MINACCE COMPORTAMENTALI 64
LE VULNERABILITÀ.. 66
L’ANALISI DEI RISCHI DEL PUNTO DI VISTA DELL’AZIENDA.. 69
FASI DELL’ANALISI DEI RISCHI 69
ANALISI DEI RISCHI DAL PUNTO DI VISTA DEL GDPR. 76
CONFRONTO FRA ANALISI DEL RISCHIO DAL PUNTO DI VISTA DELL’AZIENDA E DEL GDPR. 85
TRATTAMENTO DEL RISCHIO.. 87
I COSTI DI RIPRISTINO.. 87
IL TRATTAMENTO DEL RISCHIO AZIENDALE. 88
IL TRATTAMENTO DEL RISCHIO DAL PUNTO DI VISTA DEL GDPR. 89
LA RILEVAZIONE DELLE MISURE DI SICUREZZA IN ATTO.. 89
L’ATTIVAZIONE DELLE CONTROMISURE. 91
IL TRASFERIMENTO DEL RISCHIO.. 93
IL CICLO DELL’ANALISI DEL RISCHIO.. 94
LE MISURE DI SICUREZZA.. 95
CLASSIFICAZIONE DELLE MISURE DI SICUREZZA.. 95
CICLO DI VITA DELLE MISURE DI SICUREZZA.. 99
COERENZA NELLE CONTROMISURE. 100
DIFFERENZA NELLE CONTROMISURE. 102
ESEMPI DI MISURE DI SICUREZZA.. 104
MISURE DI CARATTERE GENERALE. 105
RAPPORTI CON IL PERSONALE. 106
GESTIONE DEGLI ACCESSI FISICI/LOGICI AGLI ASSET. 107
RAPPORTI CON ESTERNI (FORNITORI/OUTSOURCER) 108
GESTIONE DELLA SICUREZZA.. 110
CONTROLLI 110
SICUREZZA FISICA.. 111
VIDEOSORVEGLIANZA.. 115
SICUREZZA LOGICA.. 116
GESTIONE DEI DOCUMENTI 126
LA CONTINUITÀ DEL BUSINESS. 127
LE COMUNICAZIONI 130
CRITTOGRAFIA.. 134
PSEUDONIMIZZAZIONE. 135
FIRME ELETTRONICHE. 136
IMPLEMENTARE LE MISURE DI SICUREZZA.. 140
RIEPILOGO MISURE DI SICUREZZA BASE. 140
CONTINUITÀ OPERATIVA.. 142
SICUREZZA FISICA.. 142
SCENARI OPERATIVI 143
TELEFONIA MOBILE. 144
APPLICAZIONI END USER COMPUTING.. 145
SOCIAL MEDIA.. 147
LA GESTIONE DEI RIFIUTI ELETTRONICI 148
BIG DATA.. 150
BLOCKCHAIN E DLT. 154
INTELLIGENZA ARTIFICIALE. 156
CLOUD.. 160
IOT (INTERNET OF THINGS) 168
LE NORMATIVE SULLA SICUREZZA.. 173
LA PROTEZIONE DEI DATI PERSONALI E DEI DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE. 175
LE MISURE DI SICUREZZA NEL D.LGS. 196/03 PRE GDPR. 176
SEMPLIFICAZIONI 180
LE MISURE DI SICUREZZA NEL GDPR. 184
I PROVVEDIMENTI CHE IMPATTANO LA SICUREZZA.. 187
LA SALUTE E SICUREZZA NEI LUOGHI DI LAVORO.. 188
LA SICUREZZA DEGLI IMPIANTI 190
LA CRIMINALITÀ INFORMATICA.. 191
IL DIRITTO D’AUTORE. 192
LA RESPONSABILITÀ AMMINISTRATIVA.. 194
CONTROLLI E LIMITI NEI CONTROLLI 195
I VINCOLI 195
LE SOLUZIONI 201
VADEMECUM PRIVACY E LAVORO – APRILE 2015. 206
STRUMENTI UTILIZZATI DAL LAVORATORE PER RENDERE LA PRESTAZIONE LAVORATIVA.. 208
LA TUTELA DEL KNOW HOW… 213
PARTE SECONDA – STRUMENTI OPERATIVI 215
MODULI PER LA RACCOLTA DI INFORMAZIONI 217
MISURE DI SICUREZZA DELLA SEDE. 219
MISURE DI SICUREZZA DEI LOCALI 221
MISURE DI SICUREZZA DEL CED.. 223
ARCHIVI CARTACEI (DOCUMENTI / SUPPORTI) 225
RILEVAZIONE DELLE COMPETENZE/CONOSCENZE. 236
STRUMENTI PER MAPPARE PROCESSI E TRATTAMENTI 239
LA RILEVAZIONE DEI PROCESSI AZIENDALI 239
SCHEDE DI RILEVAZIONE DI UN PROCESSO.. 241
LA RILEVAZIONE DEI FLUSSI DOCUMENTALI 244
IL DPS COME STRUMENTO DI MAPPATURA.. 247
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO (AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI) 255
ESEMPI DI POLICY E PROCEDURE. 257
ESEMPIO 1 – CLASSIFICAZIONE DEI DATI PERSONALI/INFORMAZIONI 258
ESEMPIO 2 – NORME DI COMPORTAMENTO.. 260
ESEMPIO 3 – REGOLE PER LE COMUNICAZIONI AZIENDALI DA E VERSO L’ESTERNO.. 268
ESEMPIO 4 – POLICY PER L’USO DELLA POSTA ELETTRONICA AZIENDALE. 272
ESEMPIO 5 – GESTIONE DELLA VIOLAZIONE DEI DATI (DATA BREACH) 276
ALLEGATI 280
ALLEGATO A – FINALITÀ DEL TRATTAMENTO.. 281
ALLEGATO B – SOGGETTI INTERESSATI 285
ALLEGATO C – CATEGORIE DI DATI OGGETTO DI TRATTAMENTO.. 288
ALLEGATO D – SCENARI DI RISCHIO – RISORSE ESTERNE. 290
IT-GRUNDSCHUTZ CATALOGUES. 290
ENISA – THREAT TAXONOMY. 291
ALLEGATO E – MISURE DI SICUREZZA – RISORSE ESTERNE. 292
ENISA – HANDBOOK ON SECURITY OF PERSONAL DATA PROCESSING.. 292
CYBERSECURITY FRAMEWORK NAZIONALE. 293
IT-GRUNDSCHUTZ CATALOGUES. 295
NIST SPECIAL PUBLICATION 800-53 (REV. 4) 296
ALLEGATO F – POLICY E PROCEDURE – RISORSE ESTERNE. 298
AUSTRALIAN GOVERNMENT INFORMATION SECURITY MANUAL. 298
SANS INSTITUTE. 302
ALLEGATO G – ANALISI DEI RISCHI E DPIA- RISORSE ESTERNE. 304
AEPD.. 304
CNIL. 305
ALLEGATO H – ANALISI DEI RISCHI – LISTADO DE CUMPLIMIENTO NORMATIVO.. 306
ALLEGATO I – ANALISI DEI RISCHI – RISORSE ESTERNE. 308
ALLEGATO J – TRADUZIONE DELLE TABELLE ENISA.. 309
ALLEGATO K – ANALISI DEI RISCHI QUALITATIVA E QUANTITATIVA.. 314
UN CONFRONTO TRA I DUE APPROCCI 314
LA RACCOLTA DEI DATI 316
LE FONTI DI INFORMAZIONI 316
L’ATTRIBUZIONE DEI VALORI 317
SCALE QUALITATIVE. 317
SCALE QUANTITATIVE. 318
IL PROBLEMA DELLA RAPPRESENTAZIONE DEI VALORI STIMATI 318
CALCOLO DEL RISCHIO QUANTITATIVO.. 320
SOMMA O MOLTIPLICAZIONE?. 322
CONCLUSIONI 323
ALLEGATO L – ASPETTI CONTRATTUALI NEI RAPPORTI CON OUTSOURCER/FORNITORI 324
OGGETTO.. 325
GESTIONE DEL CONTRATTO.. 325
MODALITÀ.. 326
RISPETTO DELLE NORME. 327
RESPONSABILITÀ.. 329
CORRISPETTIVI 329
QUALITÀ DEL SERVIZIO.. 330
LA DESIGNAZIONE DEL SOGGETTO ESTERNO QUALE RESPONSABILE DEL TRATTAMENTO.. 331
ALLEGATO M – RISORSE ESTERNE. 332
ALLEGATO N – GLOSSARIO.. 335
