Sicurezza totale 4.0

Per l’acquisto di più titoli, contattare la segreteria:

3484161819 | iter@iterdigital.it

Questo libro si rivolge a chi non abbia una specifica competenza nell’ambito della sicurezza ed è chiamato, a vario titolo, a tutelare:

  • i dati personali e i diritti e le libertà delle persone fisiche (in quanto Titolare, DPO, Responsabile…), secondo quanto previsto dalla normativa privacy
  • i beni della propria organizzazione, (gli asset aziendali, in quanto imprenditore, professionista, dirigente della PA…)
  • il know how aziendale.

Il libro è anche utile a quanti sono demandati a fornire supporto a tali soggetti nella valutazione del rischio e nella scelta e implementazione delle misure di sicurezza più idonee, permettendo di condividere un linguaggio comune il più possibile privo di una terminologia gergale.

Sono descritti, con linguaggio semplice, semplificato, discorsivo e, per quanto possibile, privo di termini tecnici, tutti i principali aspetti relativi alla sicurezza ed alla protezione dei beni materiali ed immateriali, compresi i dati personali, che costituiscono il patrimonio di un’organizzazione.

Un approccio didattico, che può agevolare nel loro lavoro anche i professionisti della sicurezza, che trovano in questo testo uno strumento per presentare argomenti non sempre facili da spiegare.

La prospettiva del libro è quella di dare indicazioni sulla gestione di rischi aziendali e delle relative contromisure nell’ottica di una visione sinergica, tesa a proteggere:

  • gli asset aziendali
  • i dati personali
  • i diritti e le libertà delle persone fisiche
  • il know how aziendale
  • al fine di tutelare l’azienda rispetto a:
    • perdite: economiche, di immagine, di clientela, di know how
    • contenziosi legali
    • sanzioni:economiche, penali, blocco dei trattamenti.

I CONTENUTI DEL LIBRO

Il libro è composto da due parti.

Prima parte

La prima parte comprende una serie di capitoli descrittivi e didattici che descrivono il processo di valutazione del rischio sia dal punto di vista dei beni aziendali, sia dal punto di vista della normativa privacy (tutela dei diritti e delle libertà fondamentali delle persone fisiche).

Non trattandosi di un libro tecnico la modalità di presentazione delle informazioni vuole essere semplice e schematica, quasi una sorta di presentazione, una sequenza di slide e di tabelle che in breve esprimono i concetti più importanti.

Sta poi alla volontà del lettore approfondire le nozioni presentate nella parte descrittiva del testo; ulteriori approfondimenti sono possibili consultando la documentazione disponibile:

  • nella seconda parte del libro e nelle appendici
  • gratuitamente sui siti selezionati alla fine del testo.

La prima parte del libro è costituita da alcuni capitoli, corrispondenti ad altrettante fasi di un’analisi dei rischi.

Nel capitolo “Gli asset da proteggere” l’attenzione è focalizzata sulla identificazione degli asset aziendali, sulla loro valorizzazione, sulle loro interazioni. L’identificazione dei beni materiali da proteggere è relativamente semplice. Per quanto riguarda le informazioni (beni immateriali), l’indagine consente di individuare dove queste siano presenti all’interno dell’azienda: documenti, sistema informativo, prassi aziendale, conoscenze e competenze dei collaboratori, prototipi…; le informazioni sono quindi all’interno di asset materiali o costituiscono conoscenze e competenze di qualcuno.

Fra le informazioni sono ricompresi i dati personali, oggetto di particolare tutela in quanto presidiato da una corposa normativa, la cui violazione potrebbe avere conseguenza sui diritti e le libertà fondamentali delle persone fisiche (il vero oggetto di tutela della normativa privacy).

Nel capitolo “La gestione del rischio” si passa ad analizzare quelli che sono rischi, minacce, vulnerabilità…

Un bene materiale può essere rubato, danneggiato, distrutto; anche un’informazione può essere sottratta o cancellata, ma può anche essere copiata o intercettata senza alterare l’originale e quindi, senza che il proprietario se ne accorga.

Le minacce che incombono sulle informazioni sono quindi più estese e numerose di quelli dei beni materiali che le contengono.

La distruzione di un server ha un impatto sia per il valore intrinseco del bene, sia per quello dei dati in esso contenuti. Se quel server eroga un servizio importante per l’azienda (o per i suoi clienti), potrebbero esserci ulteriori conseguenze, quali l’interruzione del servizio, con ripercussioni di tipo economico, legale e di immagine.

Se i dati compromessi comprendessero anche dati personali, potrebbero esserci inoltre conseguenze sui diritti e le libertà delle persone fisiche.

L’analisi dei rischi connessa ad esempio alla perdita di un bene non si può limitare alla semplice valorizzazione monetaria dell’asset, ma deve valorizzare anche il reale impatto sul business aziendale, nonché sui diritti e le libertà delle persone fisiche.

Questa valorizzazione è indispensabile per permettere una corretta valutazione dei costi e benefici delle possibili contromisure, tenendo presente che i rischi sui diritti e le libertà delle persone fisiche, non sono rischi aziendali (e quindi nella disponibilità dell’azienda) e che quindi la loro gestione ha implicazioni specifiche.

Ad esempio, nel caso di rischio elevato la normativa prevede una specifica serie di adempienti, quali l’esecuzione di una DPIA.

Nel capitolo “Le misure di sicurezza” sono presentate numerose contromisure di natura organizzativa, fisica e logica ed i relativi processi di gestione. È inoltre presente una raccolta di “Norme di comportamento”, che possono essere distribuite ai propri collaboratori. Non si entra tuttavia nel dettaglio tecnico delle soluzioni, in quanto tale attività presuppone competenze specifiche.

Per l’implementazione delle contromisure tecniche è necessario rivolgersi a specialisti, mentre da subito è possibile mettere in atto contromisure di tipo organizzativo e comportamenti che possono ridurre notevolmente i rischi.

Ad esempio, per un commercialista la semplicissima regola di conservare presso il proprio studio solo le fotocopie dei documenti utili alla compilazione della dichiarazione dei redditi dei propri clienti, limita notevolmente il rischio legato alla loro distruzione o perdita (e le relative conseguenze legali, di immagine, ed economiche).

Il capitolo “Le normative sulla sicurezza” illustra le numerose normative che interessano la sicurezza in azienda: il GDPR, il D.lgs. 196/03, i numerosi Provvedimenti del Garante per la protezione dei dati personali, la normativa sui crimini informatici, quella sulla responsabilità amministrativa delle aziende, quella sulla firma digitale…

Parte seconda e appendici: strumenti operativi

Nella seconda parte del libro sono raccolte una serie di schede operative utili per il censimento degli asset aziendali e per la valorizzazione del rischio. In questo modo il lettore può fare immediatamente una prima analisi della propria situazione, valutando la propria esposizione al rischio e individuando le opportune contromisure.

Giancarlo Butti (giancarlo.butti@promo.it)

(LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPO, DPO, CBCI, AMBCI

Master in Gestione aziendale e Sviluppo Organizzativo (MIP – Politecnico di Milano).

Referente ESG(*) (Environmental, Social e Governance) e Inclusion del Comitato Scientifico del CLUSIT.

Si occupa di ICT, organizzazione e normativa dai primi anni 80:

  • analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
  • consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.

Come divulgatore ha all’attivo:

  • oltre 800 articoli su 40 diverse testate
  • 26 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
  • 27 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT sulla sicurezza ICT in Italia
  • relatore in oltre 170 eventi presso ABI, ISACA/AIEA, AIIA, ORACLE, CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA, UNISEF, PARADIGMA…
  • già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer
  • docente in master e corsi di perfezionamento post-universitario in diversi atenei:
    • Master di II livello in “Data Protection Officer e Diritto della privacy” dell’Università degli Studi Suor Orsola Benincasa – Napoli
    • Corso di Perfezionamento in Data Protection e Data Governance dell’Università degli Studi di Milano
    • Percorso di Alta Formazione Data Protection Officer del Cefriel
    • Master di Specializzazione per Responsabili della Protezione dei Dati Personali dell’UNISEF
    • Percorso DPO e dell’Osservatorio Information Security & Privacy del Politecnico di Milano
    • Analisi e gestione del rischio all’Università Statale di Milano
  • Master Risk management, internal audit & frodi della Ca Foscari Challenge School.

Socio e già proboviro di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica), di DFA (www.perfezionisti.it – Digital Forensics Alumni ), di ACFE (https://www.acfecentral.it/- Association of Certified Fraud Examiner).e di BCI (www.thebci.org – Business Continuity Institute).

Partecipa a diversi gruppi di lavoro di ABI LAB, di ISACA-AIEA, del CLUSIT…

(*) Già ricercatore nell’ambito delle energie rinnovabili (UNESCO – International directory of new and renewable energy information sources and research centers, 1986)

PRESENTAZIONE DELLA SECONDA EDIZIONE. 9

PRESENTAZIONE DELLA PRIMA EDIZIONE. 10

PRESENTAZIONE DI PAOLO GIUDICE. 10

RECENSIONE DI SILVANO ONGETTA.. 10

INTRODUZIONE. 12

I CONTENUTI DEL LIBRO.. 13

PARTE PRIMA.. 16

GLI ASSET DA PROTEGGERE. 17

GLI ASSET DAL PUNTO DI VISTA DELL’AZIENDA.. 17

I BENI MATERIALI 18

I BENI IMMATERIALI 19

LA CONOSCENZA.. 23

IL CAPITALE INTELLETTUALE. 23

LA CLASSIFICAZIONE DELLE INFORMAZIONI 26

I DOCUMENTI 27

I DOCUMENTI ELETTRONICI 28

IL SISTEMA INFORMATIVO.. 29

IL CICLO DI VITA DELLE INFORMAZIONI 31

IL CAPITALE UMANO.. 33

ALTRI ASSET. 35

METODOLOGIA ENISA PER LE PMI 36

LA COLLOCAZIONE DEI BENI AZIENDALI 37

LA VERIFICA DOCUMENTALE. 37

GLI ASSET DAL PUNTO DI VISTA DELLA NORMATIVA PRIVACY. 39

L’AMBITO DI TUTELA.. 39

I SOGGETTI TUTELATI 40

LA GESTIONE DEL RISCHIO.. 42

L’ANALISI DEL RISCHIO.. 42

I RISCHI 44

CORRELAZIONE FRA ASSET. 45

LE MINACCE NEI CONFRONTI DEI BENI MATERIALI 46

LE MINACCE NEI CONFRONTI DEI BENI IMMATERIALI 47

EVENTI CORRELATI AL PERSONALE. 49

I REQUISITI DI SICUREZZA.. 54

METODOLOGIA ENISA PER LE PMI 56

GLI IMPATTI PER L’AZIENDA.. 57

CORRELAZIONE FRA IMPATTI 57

LE MINACCE. 61

MINACCE AMBIENTALI 61

MINACCE INDUSTRIALI 62

MINACCE – GUASTI 63

MINACCE COMPORTAMENTALI 64

LE VULNERABILITÀ.. 66

L’ANALISI DEI RISCHI DEL PUNTO DI VISTA DELL’AZIENDA.. 69

FASI DELL’ANALISI DEI RISCHI 69

ANALISI DEI RISCHI DAL PUNTO DI VISTA DEL GDPR. 76

CONFRONTO FRA ANALISI DEL RISCHIO DAL PUNTO DI VISTA DELL’AZIENDA E DEL GDPR. 85

TRATTAMENTO DEL RISCHIO.. 87

I COSTI DI RIPRISTINO.. 87

IL TRATTAMENTO DEL RISCHIO AZIENDALE. 88

IL TRATTAMENTO DEL RISCHIO DAL PUNTO DI VISTA DEL GDPR. 89

LA RILEVAZIONE DELLE MISURE DI SICUREZZA IN ATTO.. 89

L’ATTIVAZIONE DELLE CONTROMISURE. 91

IL TRASFERIMENTO DEL RISCHIO.. 93

IL CICLO DELL’ANALISI DEL RISCHIO.. 94

LE MISURE DI SICUREZZA.. 95

CLASSIFICAZIONE DELLE MISURE DI SICUREZZA.. 95

CICLO DI VITA DELLE MISURE DI SICUREZZA.. 99

COERENZA NELLE CONTROMISURE. 100

DIFFERENZA NELLE CONTROMISURE. 102

ESEMPI DI MISURE DI SICUREZZA.. 104

MISURE DI CARATTERE GENERALE. 105

RAPPORTI CON IL PERSONALE. 106

GESTIONE DEGLI ACCESSI FISICI/LOGICI AGLI ASSET. 107

RAPPORTI CON ESTERNI (FORNITORI/OUTSOURCER) 108

GESTIONE DELLA SICUREZZA.. 110

CONTROLLI 110

SICUREZZA FISICA.. 111

VIDEOSORVEGLIANZA.. 115

SICUREZZA LOGICA.. 116

GESTIONE DEI DOCUMENTI 126

LA CONTINUITÀ DEL BUSINESS. 127

LE COMUNICAZIONI 130

CRITTOGRAFIA.. 134

PSEUDONIMIZZAZIONE. 135

FIRME ELETTRONICHE. 136

IMPLEMENTARE LE MISURE DI SICUREZZA.. 140

RIEPILOGO MISURE DI SICUREZZA BASE. 140

CONTINUITÀ OPERATIVA.. 142

SICUREZZA FISICA.. 142

SCENARI OPERATIVI 143

TELEFONIA MOBILE. 144

APPLICAZIONI END USER COMPUTING.. 145

SOCIAL MEDIA.. 147

LA GESTIONE DEI RIFIUTI ELETTRONICI 148

BIG DATA.. 150

BLOCKCHAIN E DLT. 154

INTELLIGENZA ARTIFICIALE. 156

CLOUD.. 160

IOT (INTERNET OF THINGS) 168

LE NORMATIVE SULLA SICUREZZA.. 173

LA PROTEZIONE DEI DATI PERSONALI E DEI DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE. 175

LE MISURE DI SICUREZZA NEL D.LGS. 196/03 PRE GDPR. 176

SEMPLIFICAZIONI 180

LE MISURE DI SICUREZZA NEL GDPR. 184

I PROVVEDIMENTI CHE IMPATTANO LA SICUREZZA.. 187

LA SALUTE E SICUREZZA NEI LUOGHI DI LAVORO.. 188

LA SICUREZZA DEGLI IMPIANTI 190

LA CRIMINALITÀ INFORMATICA.. 191

IL DIRITTO D’AUTORE. 192

LA RESPONSABILITÀ AMMINISTRATIVA.. 194

CONTROLLI E LIMITI NEI CONTROLLI 195

I VINCOLI 195

LE SOLUZIONI 201

VADEMECUM PRIVACY E LAVORO – APRILE 2015. 206

STRUMENTI UTILIZZATI DAL LAVORATORE PER RENDERE LA PRESTAZIONE LAVORATIVA.. 208

LA TUTELA DEL KNOW HOW… 213

PARTE SECONDA – STRUMENTI OPERATIVI 215

MODULI PER LA RACCOLTA DI INFORMAZIONI 217

MISURE DI SICUREZZA DELLA SEDE. 219

MISURE DI SICUREZZA DEI LOCALI 221

MISURE DI SICUREZZA DEL CED.. 223

ARCHIVI CARTACEI (DOCUMENTI / SUPPORTI) 225

RILEVAZIONE DELLE COMPETENZE/CONOSCENZE. 236

STRUMENTI PER MAPPARE PROCESSI E TRATTAMENTI 239

LA RILEVAZIONE DEI PROCESSI AZIENDALI 239

SCHEDE DI RILEVAZIONE DI UN PROCESSO.. 241

LA RILEVAZIONE DEI FLUSSI DOCUMENTALI 244

IL DPS COME STRUMENTO DI MAPPATURA.. 247

IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO (AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI) 255

ESEMPI DI POLICY E PROCEDURE. 257

ESEMPIO 1 – CLASSIFICAZIONE DEI DATI PERSONALI/INFORMAZIONI 258

ESEMPIO 2 – NORME DI COMPORTAMENTO.. 260

ESEMPIO 3 – REGOLE PER LE COMUNICAZIONI AZIENDALI DA E VERSO L’ESTERNO.. 268

ESEMPIO 4 – POLICY PER L’USO DELLA POSTA ELETTRONICA AZIENDALE. 272

ESEMPIO 5 – GESTIONE DELLA VIOLAZIONE DEI DATI (DATA BREACH) 276

ALLEGATI 280

ALLEGATO A – FINALITÀ DEL TRATTAMENTO.. 281

ALLEGATO B – SOGGETTI INTERESSATI 285

ALLEGATO C – CATEGORIE DI DATI OGGETTO DI TRATTAMENTO.. 288

ALLEGATO D – SCENARI DI RISCHIO – RISORSE ESTERNE. 290

IT-GRUNDSCHUTZ CATALOGUES. 290

ENISA – THREAT TAXONOMY. 291

ALLEGATO E – MISURE DI SICUREZZA – RISORSE ESTERNE. 292

ENISA – HANDBOOK ON SECURITY OF PERSONAL DATA PROCESSING.. 292

CYBERSECURITY FRAMEWORK NAZIONALE. 293

IT-GRUNDSCHUTZ CATALOGUES. 295

NIST SPECIAL PUBLICATION 800-53 (REV. 4) 296

ALLEGATO F – POLICY E PROCEDURE – RISORSE ESTERNE. 298

AUSTRALIAN GOVERNMENT INFORMATION SECURITY MANUAL. 298

SANS INSTITUTE. 302

ALLEGATO G – ANALISI DEI RISCHI E DPIA- RISORSE ESTERNE. 304

AEPD.. 304

CNIL. 305

ALLEGATO H – ANALISI DEI RISCHI – LISTADO DE CUMPLIMIENTO NORMATIVO.. 306

ALLEGATO I – ANALISI DEI RISCHI – RISORSE ESTERNE. 308

ALLEGATO J – TRADUZIONE DELLE TABELLE ENISA.. 309

ALLEGATO K – ANALISI DEI RISCHI QUALITATIVA E QUANTITATIVA.. 314

UN CONFRONTO TRA I DUE APPROCCI 314

LA RACCOLTA DEI DATI 316

LE FONTI DI INFORMAZIONI 316

L’ATTRIBUZIONE DEI VALORI 317

SCALE QUALITATIVE. 317

SCALE QUANTITATIVE. 318

IL PROBLEMA DELLA RAPPRESENTAZIONE DEI VALORI STIMATI 318

CALCOLO DEL RISCHIO QUANTITATIVO.. 320

SOMMA O MOLTIPLICAZIONE?. 322

CONCLUSIONI 323

ALLEGATO L – ASPETTI CONTRATTUALI NEI RAPPORTI CON OUTSOURCER/FORNITORI 324

OGGETTO.. 325

GESTIONE DEL CONTRATTO.. 325

MODALITÀ.. 326

RISPETTO DELLE NORME. 327

RESPONSABILITÀ.. 329

CORRISPETTIVI 329

QUALITÀ DEL SERVIZIO.. 330

LA DESIGNAZIONE DEL SOGGETTO ESTERNO QUALE RESPONSABILE DEL TRATTAMENTO.. 331

ALLEGATO M – RISORSE ESTERNE. 332

ALLEGATO N – GLOSSARIO.. 335

Social

  • Facebook
  • Custom 1
  • Custom 2

Cerca

Disclaimer

Tutti i contenuti di questo sito sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela della Proprietà Intellettuale ed Industriale. Con la dizione "sito" ITER srl, P. I. 09306810962, intende fare riferimento ad ogni elemento tecnico, grafico ed informatico del sito, ivi compresi, a titolo esemplificativo e non esaustivo, i software che ne consentono l'operatività ed i relativi codici, i contenuti >> continua...

Dati societari

Sede legale:
Piazzetta Guastalla, 11 - 20122 Milano (MI) Codice Fiscale/P.IVA: 09306810962
Cap. Soc.: € 10.000 i.v.
CCIAA: MI-2082738
PEC: iter@pec-legal.it
ITER è un brevetto per marchio d’impresa registrato nel 1989

Contatti

Sede amministrativa e operativa:
Vicolo del caldo, 36
21047 Saronno (VA)
Phone: +39 02 099 98 91
Fax: +39 02 2953 2355


Email: iter@iterdigital.it