Hitachi CBT - Privacy Webinar GM DC v1.0 (2)€¦ · «Starting» point 10 FOUNDATION ISMS / SGSI • Information Security Management System or Sistema di Gestione della Sicurezza

© Hitachi Systems CBT S.p.A. 2015. All rights reserved.

EasyShield BU

27/01/2016

Gloria MarcoccioSecurity BU

®

Il nuovo Regolamento privacy UE

Esigenze di adeguamento per le aziendeche fanno business in ambito comunitario


Privacy UE – Dopo 20 anni si volta pagina

Raggiunto l'accordo finale sul testo del nuovo Regolamento Generale Europeo sulla protezione dei dati personali

Il Regolamento entra in vigore 20 giorni dopo la sua pubblicazione in GUCE, a seguito della formale approvazione del Parlamento UE in seduta plenaria

previsto entro

Primavera 2016

previsto entro

Primavera 2018

È il più importante cambiamento per le leggi privac y UE dopo 20 anni dalla direttiva 95/46/EC:

� maggiori tutele per le persone

� generale innalzamento dei livelli di protezione per i dati personali con l' introduzione di nuove misure di sicurezza, nuovi adempimenti

� previsione di consistenti sanzioni in caso di viola zione delle prescrizioni

24 mesi di tempo per potersi adeguare

Il Regolamento sarà esecutivo, i sistemi aziendali di conformità alla nuova regolamentazione privacy dovranno essere up and running

Dicembre 2015


Le News del Regolamento in Sintesi

Armonizzazione delle legislazioni e ambito ampliato

• Riduzione di oneri amministrativi• Ambito territoriale• Interesse legittimo• One-Stop –Shop

Aumento di obblighi

• Accountability• Consenso, in particolare per il trattamento

dati dei minori• Privacy by Design e by Default• Privacy Impact Assessment• Prior Consultation• Notifiche e gestione di Data Breach• Data Protection Officer• Espliciti adempimenti per i Responsabili

Bollino blu privacy

• Adesione volontaria a Codici di Condotta e Certificazioni a supporto dell'applicazione del Regolamento

Rafforzati i diritti degli Interessati

• Informativa• Diritti di opposizione• Portabilità dei dati• Diritto all’oblio• Profiling

Incrementate azioni di enforcement, sanzioni responsabilità

• Diritto a ricorsi verso le Autorità privacy, i Titolari, i Responsabili

• Diritto al risarcimento in caso di violazione del Regolamento da parte di Titolari o Responsabili

• Sanzioni in caso di violazioni• Poteri di enforcement delle Autorità privacy• European Data Protection Board

Trasferimento di dati extra UE

• Trasferimenti dati consentiti• Clausole contrattuali standard UE• Binding Corporate Rules


Principali Impatti Organizzativi/Procedurali

Misure contrattuali Titolare-Responsabili

Misure contrattuali trasferimento dati extra UE

Gestione esercizio dei diritti, consenso informato

Formazione

Data Protection Officer

Gestione one-stop-shop

Gestione raccordi compliance

PIA (Privacy Impact Assessments)

Gestione Data Breach

Gestione AccountabilityAttestazione documentata degli adempimenti privacy p resi in carico; controllo sui trattamenti effettuati, responsabilità e compiti assegnati, mis ure di sicurezza implementate

Definizione ed implementazione di piani di gestione e relativa organizzazione e test, utilizzo di strutture informative per documentare gli eventi di Data Breach, organizzazione e mezzi per rispettare le tempistiche di legge

Definizione ed implementazione di metodi per condurre , documentare e gestire nel tempo le attività di PIA ed eventuali conseguenti Prior Consu ltation con il Garante Privacy

Definizione/Aggiornamenti clausole ed istruzioni, ges tione della casistica dei Responsabili in ’cascata ’

Definizione//Review/Aggiornamenti degli strumenti le gali adottati per il trasferimento dati,contrattualistica conseguente, inventory dei casi di trasferimento in essere

Review/Aggiornamento delle procedure e dei testi pe r gestione informativa e consensiProcedure integrate per l’esercizio dei diritti nel rispetto delle tempistiche di legge

Formazione del personale preposto ai trattamenti dat i personali

Per le aziende che devono prevedere tale figura: ass egnazione dei compiti e gestione delle comunicazioni ed operatività previste dal Regolament o

Per le aziende che fanno business in più Stati Membr i UE: adozione ed implementazione di procedure per il rapporto con la Lead Privacy Autho rity

Gestione raccordi normativi nei riguardi degli adem pimenti D.Lgs 231/01 e coordinamento con altre compliance aziendali (es. normativa giuslavoris tica)


Principali Impatti Tecnici

• Data Breach:

o Alerting e detection

o Misure ex ante e misure ex post

o Inventory

• Encryption

• Pseudo-anonimizzazione dei dati

• Misure di controllo accessi

• Misure tecniche in funzione dei rischi specifici e valutazione impatti (PIA)

• Meccanismi per la Portabilità dei dati

• Controllo operativo sulla conservazione temporale dei dati

DATI

SISTEMI

SERVIZI


Sintesi delle Sanzioni Previste

Fino a 10 milioni di euro, in caso di imprese fino al 2% del fatturato (se superiore a 10 milioni di euro)

� Consenso per il caso dei minori

� Sicurezza

� Accountability

� Rispetto dei principi di Privacy by Design e Privacy by Default

� Prior Consultation del Garante privacy

� Adempimenti in generale del Titolare del Responsabile e del Rappresentante (di Titolare non UE)

� Data Breach

� Privacy Impact Assessment

� Data Protection Officer

� Rispetto delle Certificazioni privacy

Fino a 20 milioni di euro, in caso di imprese fino al 4% del fatturato (se superiore a 20 milioni di euro)

� Condizioni per espressione e documentazione del Consenso

� Principi di correttezza e liceità dei trattamenti,

� Diritti degli Interessati (tra cui la Portabilità ed il Diritto all'oblio)

� Trasferimenti di dati extra UE

� Ordini emessi dal Garante privacy

� Comunicazione Data Breach agli Interessati

� Rispetto di specifici divieti di trattamenti

� Rispetto degli obblighi per specifici casi di trattamento (es. dati dei lavoratori nel contesto del rapporto di lavoro)

AmministrativeAmministrative

È rimandato agli Stati Membri UE il compito di stabilire le sanzioni penali da applicare

PenalePenale


Linee di intervento essenziali: approccio integrato per gestire in continuità il passaggio al nuovo Regolamento

Il Regolamento incide in modo significativo sulle imprese di tutti i settori e richiede un attenta revisione di

quanto in essere ed un pronto adeguamento alle nuove misure di

natura tecnica, organizzativa e

procedurale

Ipotesi di pianificazione a scopo esemplificativo(tempistiche in funzione del business e delle dimen sioni dell’Azienda)

Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8

Identificazione prescrizioni rilevanti per il ‘prof ilo privacy’ dell’Azienda

Assessment e GAP Analysis, progettazione Accountability

Predisposizione Misure Privacy by Design, Privacy by Default e Risk Analysis

Predisposizione gestione e misure Data Breach

Predisposizione metodologia PIA e relativa implementazione

Predisposizione misure contrattuali/istruzioni per Responsabili, per altre figure e per Trasferimento di dati all’estero

Formazione

Predisposizione Misure che riguardano gli Interessat i (clienti/forza lavoro)

Interventi per rapporti con il Garante Privacy

Integrazione con altre esigenze di compliance(231/01,…)

Regolamento in vigore: previsto entro Primavera 2016

Regolamento diventa esecutivo:previsto entro Primavera 2018

Sistema di compliance al Regolamento:up and running


EasyShield BU

Mettere in atto il cambiamento:

da reattivo a proattivo

27/01/2016

Denis Valter CassinerioSecurity BU DirectorSales North Director

®


New «Controls / Technologies»

8

THREATS LANDSCAPE

INTERNET MALWARE INFECTION EXTERNAL EXPLOITATION

PHYSICAL MALWARE INFECTION

T

e

x

t

CYBER CYBER CYBER CYBER

ATTACKS ATTACKS ATTACKS ATTACKS

JUST JUST JUST JUST

AHEADAHEADAHEADAHEAD

• Drive-by Download• Email Attachment• File sharing• Pirated sw& keygen• Spear Phishing• DNS & Routing Mods

• Professional Hacking• Mass vulnerability exploits• Co-location Host Exploitation• Cloud Provider penetration• Rogue WiFi prenetration• SmartPhone Bridging

• Infected USB sticks• Infected CD’s/DVS’s• Infected memory cards• Infected appliances• Backdoored IT equipment

© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 9

ReconnaissanceReconnaissanceReconnaissanceReconnaissance WeaporizationWeaporizationWeaporizationWeaporization DeliveryDeliveryDeliveryDelivery BackdoorBackdoorBackdoorBackdoor LaterlaLaterlaLaterlaLaterla MovementMovementMovementMovement Data Collection Exfiltrate

Intrusion kill Chain

Research, identification and

selection of targets, often

represented ascrawling internet websites suchas conference proceeedings

and mailing listsfor email

adresses, social relationships, or information on

specifictechnologies

Coupling a remote accesstrojan with an exploit into a deliverablepayload,

typically by means of an

automated tool. Increasingly,

client applicationdata dile such as

Adove PDF or Ms Office Docs

serve as the weaponizeddeliverable.

Transmission of the weapon to the targetedenvironment

using vectorslike email

attachments, websites, and

USB removablemedia

After the weapon is

delivered to victim host, exploitation

triggersintruders’ code.

Most often, exploitationtergets an

application or operatingsystem

vulnerability

Installation of a remote access

trojan or backdoor on the

victim systemallows the

adversary to mantain

persistanceinside the

environmentAnd esclateprivileges

Tipically, compromised

hosts must beacon

outbound to an internet

controller server to establish a C2

channel

Only now, afterprogressing

through the first six phases, can intruders take

actions to achieve their

originalobjectives.

Typically thisobjective is data exfiltration which

involvescollecting,

encrypting and extracting

information from the victim

environment

DETECT DENY DISRUPT DEGRADE DECEIVE DESTROY

CAMPAIGN ANALYSIS – TOOLS, TECHNIQUES AND PROCEDURES

LEVERAGE; DISCOVER; ANALYZE ATOMIC, COMPUTED AND BEHAVIOR INDICATORS

Understand a Cyber Attack


«Starting» point

10

FOUNDATION IS

MS

/ S

GS

I

• Information Security Management System or Sistema di Gestione della Sicurezza Informatica

• Risk Assessment / PIA current situation through methodologies certified• Certify the «integrated» plan ISO 27001/02/05; 31000, L.196 / GDPR / 231…• Gap Analysis• Implementation of policies needed• Implementation / Controls Adjustment / New controls• Controls Automation and Continuous Monitoring / Analysis• Incident Response Plan


Focus Points: understanding a Cyber Attack

11

ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH

MONITOR ALERT DETECT EX POST

PREVENT

Target findingand information

collect ion

Spear PhishingVulnerability

software control Payloads

C&C

Take User Machine Privilege Escalation

Privilege Escalation Data Collection C&C Data Exfiltration

Recon Weapon Deliver BackdoorLateralMovement

Data Collection

Exfiltratate

Stop the « Kill – Chain»


Focus Points : operational implications

12

Area Maturity Needs Source Check Output Next Steps

MONITOR Basic • Access• Identity• DB• Applications

• Logs• IAM• DAM• PAM• NAC• SIEM

• Controls• SIEM

• IOC • Visibility

• Analysis

ALERT Advanced • Event Analysis• Alarms• False positives

• Use Cases• Controls• Logs• Applications• Assessment

• Analytics• Skills• SIEM

• InvestigationProcess

• False Positive reduction

• Mitigation• Remediation• Enforcement

• BreachNotification

• Resolution

DETECT Advanced • BreachIdentification

• EventAnalysis

• Integrity of Assets

• SIEM

• Use Cases• SIEM• Packet

Inspection• C&C

Communication

• EndpointSensors

• BreachNotifcation

• Investigation• Mitigation• Remediation• Enforcement

• IncidentHandling

ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH (1/2)

© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 13

Area Maturity Needs Source Check Output Next Steps

EX POST Advanced • Log Analisys

• Low signals• Forensic

• System Logs• Packet Analysis• SIEM

• Assess Integrity• Source of Attack• Policy

Processes• Responsibilities

• Report• Escalation

Process• Legal

Impacts• Economic

Impacts

• PoliciesReview

• ControlsEfficiency

• ChangeManagement

• Penalties

ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH (2/2)

Focus Points : change from Reactive to Proactive

OPERATIONS EMPLOYEES LEGAL IMPACTSTHESE AFFECT:

PREVENT NextGeneration

• PreserveCompliance

• Avoid / Break KillChain

• Controls• Logs• Packets• SIEM• GRC

• Assessment• Hethical Hacking• GRC• SIEM• Sandboxing• New ctrls

(DAM/PAM…)

• Reduction of IT Costs (TCO)

• Avoid Penalties

• Avoid Image disruption

• Fine tuning• Systems

Updates• New Features• Change

Management Vs Situational Awareness Security


Gestione Data Breach

Identificazione incidente e decisione che trattasi di Data BreachIdentificazione incidente e decisione che trattasi di Data Breach

Attività di notifica al Garante (entro 72 ore) ese necessario agli Interessati (senzaindebito ritardo)

Attività di notifica al Garante (entro 72 ore) ese necessario agli Interessati (senzaindebito ritardo)

Azioni di primo contenimento, raccoltaconitnua di informazioni ed analisiAzioni di primo contenimento, raccoltaconitnua di informazioni ed analisi

Azioni per completo contenimento dellaData BreachAzioni per completo contenimento dellaData Breach

Chiusura della Data Breach ed azioniLesson LearntChiusura della Data Breach ed azioniLesson Learnt

Fasi essenziali per il piano di gestione Data Breach

Analisi Rischi/ PIA

Prescrizioni di legge/standard applicabili

Progettazione misure/aggiornamento ISMS

Implementazione, formazione e comunicazione


Security Business Unit

15


Security BU Offering

SOLUTIONS SERVICES

CONSULTING GOVERNANCE

Compliance

Professional Services

Technology

Cyber Security

ManagedSecurity Services


Security BU Offering: Compliance

• DLgs 196/03• DlLgs 231/01• Circ 263/285 BI (Banking)• IVASS/ISVAP (Insurance)• Solvency II (Insurance)• ISO 31000 – Cert. about

Risk Management• ISO/IEC 27001 / 27002 /

27005 Certification forISMS.

• SOX (Compliance Rep)• PCI DSS - Credit Card

payment data.

COMPLIANCE RISK ASSESSMENT

• Integrated• ISO/IEC 27001 Cert• ISO 9001 – Quality• ISO 14000 - Environment

manag. systems andstandards

• ISO 18000 (RFID techn.)• SA 8000• ISO 22301 BC• CSA STAR – Cloud

Security• ISO 20000 – Cert.

Service ManagementSystems

RISK MGMT GOV & CERT

• DLgs 196/03 Privacy Law

• DLgs 231/01

• Sarbanes Oxley Act

• PCI DSS Credit Cardpayment data.

REGULATORY COMPL & MGMT

• COBIT IT Governance• ITIL Best Practices for IT

BUSINESS PROCESS RENG

• Custom Plans

AWARNESS & TRAINING

• Recurrent Audit• Compliance Maintenance• Data Breach procedures

AUDIT & MONITORING

� Compliance Risk Assessment� Risk Management, Governance & Certification� Regulatory Compliance Management� Business Process Re-engineering� Awareness & Training� Audit & Monitoring

Compliance


Global SOC : Security Strategy

Cyber Security

Proactive Defense with Real-time

Analytics and Global Intelligence Service

Global SOCProtection of Critical

Infrastructure(Social Infrastructure)

SHIELDSecurity Operation Center


Hitachi Systems Global

Italy

2014

-IN

DIA

Hitachi Systems Micro Clinic 20

13 –

SO

UT

HE

AS

T A

SIA

Hitachi Sunway Information Systems

2015

-IT

ALY Hitachi

Systems CBT

2014

-C

HIN

A Hitachi Systems (Guangzhou)

2012

–N

OR

TH

AM

ER

ICA Cumulus

Systems

2015

-C

AN

AD

A

Above Security

1. Stabilire in Italia la base dell’attivitàeuropea

2. Contribuire al business sulla social infrastructure di Hitachi Group

3. Espandere il business in tutta l’Europa

STRATEGIA


SOFTWARE FACTORY

Bologna

HEADQUARTER

Roma

BRANCHES

MilanoVeneziaTorinoNovara

DATA CENTERS

RomaMilano

+330PERSONE

6SEDI

OLTRE

1.200CERTIFICAZIONI

OLTRE

100PARTNER

ESPERIENZA

>35ANNI

100%SECURITY &COMPLIANCE

57MILIONI €DI FATTURATO+7% FY 2013

2DATA CENTER

36524/7SERVIZI

Highlights

“ all our customers willbe free to focus on their

core business only”

Flavio RadicePresident of the Board & CEO


Contacts

HEADQUARTER

ROME

Via Francesco P. Da Cherso, 30 - 00143+39 06 519931

www.hitachi-systems-cbt.com

[email protected]

[email protected]

MAIN SITES

MILAN

Via Dei Gracchi, 7 – 20146 +39 02 489571

VENICE - QUARTO D’ALTINO

Via L. Mazzon, 9 – 30020 +39 0422 19702

TURIN

Via Gian Domenico Cassini, 39 - 10129+39 011 5613567

NOVARA

Via Biandrate, 24 - 28100+39 0321 670311

BOLOGNA - CASALECCHIO DI RENO

Via Ettore Cristoni, 84 - 40033+39 051 8550501

Superior service empowered by combining the strengthof our people and information technology.

Documents

Hitachi CBT - Privacy Webinar GM DC v1.0 (2)€¦ · «Starting» point 10 FOUNDATION ISMS / SGSI • Information Security Management System or Sistema di Gestione della Sicurezza