© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
EasyShield BU
27/01/2016
Gloria MarcoccioSecurity BU
®
Il nuovo Regolamento privacy UE
Esigenze di adeguamento per le aziendeche fanno business in ambito comunitario
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Privacy UE – Dopo 20 anni si volta pagina
Raggiunto l'accordo finale sul testo del nuovo Regolamento Generale Europeo sulla protezione dei dati personali
Il Regolamento entra in vigore 20 giorni dopo la sua pubblicazione in GUCE, a seguito della formale approvazione del Parlamento UE in seduta plenaria
previsto entro
Primavera 2016
previsto entro
Primavera 2018
È il più importante cambiamento per le leggi privac y UE dopo 20 anni dalla direttiva 95/46/EC:
� maggiori tutele per le persone
� generale innalzamento dei livelli di protezione per i dati personali con l' introduzione di nuove misure di sicurezza, nuovi adempimenti
� previsione di consistenti sanzioni in caso di viola zione delle prescrizioni
24 mesi di tempo per potersi adeguare
Il Regolamento sarà esecutivo, i sistemi aziendali di conformità alla nuova regolamentazione privacy dovranno essere up and running
Dicembre 2015
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Le News del Regolamento in Sintesi
Armonizzazione delle legislazioni e ambito ampliato
• Riduzione di oneri amministrativi• Ambito territoriale• Interesse legittimo• One-Stop –Shop
Aumento di obblighi
• Accountability• Consenso, in particolare per il trattamento
dati dei minori• Privacy by Design e by Default• Privacy Impact Assessment• Prior Consultation• Notifiche e gestione di Data Breach• Data Protection Officer• Espliciti adempimenti per i Responsabili
Bollino blu privacy
• Adesione volontaria a Codici di Condotta e Certificazioni a supporto dell'applicazione del Regolamento
Rafforzati i diritti degli Interessati
• Informativa• Diritti di opposizione• Portabilità dei dati• Diritto all’oblio• Profiling
Incrementate azioni di enforcement, sanzioni responsabilità
• Diritto a ricorsi verso le Autorità privacy, i Titolari, i Responsabili
• Diritto al risarcimento in caso di violazione del Regolamento da parte di Titolari o Responsabili
• Sanzioni in caso di violazioni• Poteri di enforcement delle Autorità privacy• European Data Protection Board
Trasferimento di dati extra UE
• Trasferimenti dati consentiti• Clausole contrattuali standard UE• Binding Corporate Rules
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Principali Impatti Organizzativi/Procedurali
Misure contrattuali Titolare-Responsabili
Misure contrattuali trasferimento dati extra UE
Gestione esercizio dei diritti, consenso informato
Formazione
Data Protection Officer
Gestione one-stop-shop
Gestione raccordi compliance
PIA (Privacy Impact Assessments)
Gestione Data Breach
Gestione AccountabilityAttestazione documentata degli adempimenti privacy p resi in carico; controllo sui trattamenti effettuati, responsabilità e compiti assegnati, mis ure di sicurezza implementate
Definizione ed implementazione di piani di gestione e relativa organizzazione e test, utilizzo di strutture informative per documentare gli eventi di Data Breach, organizzazione e mezzi per rispettare le tempistiche di legge
Definizione ed implementazione di metodi per condurre , documentare e gestire nel tempo le attività di PIA ed eventuali conseguenti Prior Consu ltation con il Garante Privacy
Definizione/Aggiornamenti clausole ed istruzioni, ges tione della casistica dei Responsabili in ’cascata ’
Definizione//Review/Aggiornamenti degli strumenti le gali adottati per il trasferimento dati,contrattualistica conseguente, inventory dei casi di trasferimento in essere
Review/Aggiornamento delle procedure e dei testi pe r gestione informativa e consensiProcedure integrate per l’esercizio dei diritti nel rispetto delle tempistiche di legge
Formazione del personale preposto ai trattamenti dat i personali
Per le aziende che devono prevedere tale figura: ass egnazione dei compiti e gestione delle comunicazioni ed operatività previste dal Regolament o
Per le aziende che fanno business in più Stati Membr i UE: adozione ed implementazione di procedure per il rapporto con la Lead Privacy Autho rity
Gestione raccordi normativi nei riguardi degli adem pimenti D.Lgs 231/01 e coordinamento con altre compliance aziendali (es. normativa giuslavoris tica)
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Principali Impatti Tecnici
• Data Breach:
o Alerting e detection
o Misure ex ante e misure ex post
o Inventory
• Encryption
• Pseudo-anonimizzazione dei dati
• Misure di controllo accessi
• Misure tecniche in funzione dei rischi specifici e valutazione impatti (PIA)
• Meccanismi per la Portabilità dei dati
• Controllo operativo sulla conservazione temporale dei dati
DATI
SISTEMI
SERVIZI
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Sintesi delle Sanzioni Previste
Fino a 10 milioni di euro, in caso di imprese fino al 2% del fatturato (se superiore a 10 milioni di euro)
� Consenso per il caso dei minori
� Sicurezza
� Accountability
� Rispetto dei principi di Privacy by Design e Privacy by Default
� Prior Consultation del Garante privacy
� Adempimenti in generale del Titolare del Responsabile e del Rappresentante (di Titolare non UE)
� Data Breach
� Privacy Impact Assessment
� Data Protection Officer
� Rispetto delle Certificazioni privacy
Fino a 20 milioni di euro, in caso di imprese fino al 4% del fatturato (se superiore a 20 milioni di euro)
� Condizioni per espressione e documentazione del Consenso
� Principi di correttezza e liceità dei trattamenti,
� Diritti degli Interessati (tra cui la Portabilità ed il Diritto all'oblio)
� Trasferimenti di dati extra UE
� Ordini emessi dal Garante privacy
� Comunicazione Data Breach agli Interessati
� Rispetto di specifici divieti di trattamenti
� Rispetto degli obblighi per specifici casi di trattamento (es. dati dei lavoratori nel contesto del rapporto di lavoro)
AmministrativeAmministrative
È rimandato agli Stati Membri UE il compito di stabilire le sanzioni penali da applicare
PenalePenale
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Linee di intervento essenziali: approccio integrato per gestire in continuità il passaggio al nuovo Regolamento
Il Regolamento incide in modo significativo sulle imprese di tutti i settori e richiede un attenta revisione di
quanto in essere ed un pronto adeguamento alle nuove misure di
natura tecnica, organizzativa e
procedurale
Ipotesi di pianificazione a scopo esemplificativo(tempistiche in funzione del business e delle dimen sioni dell’Azienda)
Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8
Identificazione prescrizioni rilevanti per il ‘prof ilo privacy’ dell’Azienda
Assessment e GAP Analysis, progettazione Accountability
Predisposizione Misure Privacy by Design, Privacy by Default e Risk Analysis
Predisposizione gestione e misure Data Breach
Predisposizione metodologia PIA e relativa implementazione
Predisposizione misure contrattuali/istruzioni per Responsabili, per altre figure e per Trasferimento di dati all’estero
Formazione
Predisposizione Misure che riguardano gli Interessat i (clienti/forza lavoro)
Interventi per rapporti con il Garante Privacy
Integrazione con altre esigenze di compliance(231/01,…)
Regolamento in vigore: previsto entro Primavera 2016
Regolamento diventa esecutivo:previsto entro Primavera 2018
Sistema di compliance al Regolamento:up and running
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
EasyShield BU
Mettere in atto il cambiamento:
da reattivo a proattivo
27/01/2016
Denis Valter CassinerioSecurity BU DirectorSales North Director
®
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
New «Controls / Technologies»
8
THREATS LANDSCAPE
INTERNET MALWARE INFECTION EXTERNAL EXPLOITATION
PHYSICAL MALWARE INFECTION
T
e
x
t
CYBER CYBER CYBER CYBER
ATTACKS ATTACKS ATTACKS ATTACKS
JUST JUST JUST JUST
AHEADAHEADAHEADAHEAD
• Drive-by Download• Email Attachment• File sharing• Pirated sw& keygen• Spear Phishing• DNS & Routing Mods
• Professional Hacking• Mass vulnerability exploits• Co-location Host Exploitation• Cloud Provider penetration• Rogue WiFi prenetration• SmartPhone Bridging
• Infected USB sticks• Infected CD’s/DVS’s• Infected memory cards• Infected appliances• Backdoored IT equipment
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 9
ReconnaissanceReconnaissanceReconnaissanceReconnaissance WeaporizationWeaporizationWeaporizationWeaporization DeliveryDeliveryDeliveryDelivery BackdoorBackdoorBackdoorBackdoor LaterlaLaterlaLaterlaLaterla MovementMovementMovementMovement Data Collection Exfiltrate
Intrusion kill Chain
Research, identification and
selection of targets, often
represented ascrawling internet websites suchas conference proceeedings
and mailing listsfor email
adresses, social relationships, or information on
specifictechnologies
Coupling a remote accesstrojan with an exploit into a deliverablepayload,
typically by means of an
automated tool. Increasingly,
client applicationdata dile such as
Adove PDF or Ms Office Docs
serve as the weaponizeddeliverable.
Transmission of the weapon to the targetedenvironment
using vectorslike email
attachments, websites, and
USB removablemedia
After the weapon is
delivered to victim host, exploitation
triggersintruders’ code.
Most often, exploitationtergets an
application or operatingsystem
vulnerability
Installation of a remote access
trojan or backdoor on the
victim systemallows the
adversary to mantain
persistanceinside the
environmentAnd esclateprivileges
Tipically, compromised
hosts must beacon
outbound to an internet
controller server to establish a C2
channel
Only now, afterprogressing
through the first six phases, can intruders take
actions to achieve their
originalobjectives.
Typically thisobjective is data exfiltration which
involvescollecting,
encrypting and extracting
information from the victim
environment
DETECT DENY DISRUPT DEGRADE DECEIVE DESTROY
CAMPAIGN ANALYSIS – TOOLS, TECHNIQUES AND PROCEDURES
LEVERAGE; DISCOVER; ANALYZE ATOMIC, COMPUTED AND BEHAVIOR INDICATORS
Understand a Cyber Attack
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
«Starting» point
10
FOUNDATION IS
MS
/ S
GS
I
• Information Security Management System or Sistema di Gestione della Sicurezza Informatica
• Risk Assessment / PIA current situation through methodologies certified• Certify the «integrated» plan ISO 27001/02/05; 31000, L.196 / GDPR / 231…• Gap Analysis• Implementation of policies needed• Implementation / Controls Adjustment / New controls• Controls Automation and Continuous Monitoring / Analysis• Incident Response Plan
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Focus Points: understanding a Cyber Attack
11
ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH
MONITOR ALERT DETECT EX POST
PREVENT
Target findingand information
collect ion
Spear PhishingVulnerability
software control Payloads
C&C
Take User Machine Privilege Escalation
Privilege Escalation Data Collection C&C Data Exfiltration
Recon Weapon Deliver BackdoorLateralMovement
Data Collection
Exfiltratate
Stop the « Kill – Chain»
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Focus Points : operational implications
12
Area Maturity Needs Source Check Output Next Steps
MONITOR Basic • Access• Identity• DB• Applications
• Logs• IAM• DAM• PAM• NAC• SIEM
• Controls• SIEM
• IOC • Visibility
• Analysis
ALERT Advanced • Event Analysis• Alarms• False positives
• Use Cases• Controls• Logs• Applications• Assessment
• Analytics• Skills• SIEM
• InvestigationProcess
• False Positive reduction
• Mitigation• Remediation• Enforcement
• BreachNotification
• Resolution
DETECT Advanced • BreachIdentification
• EventAnalysis
• Integrity of Assets
• SIEM
• Use Cases• SIEM• Packet
Inspection• C&C
Communication
• EndpointSensors
• BreachNotifcation
• Investigation• Mitigation• Remediation• Enforcement
• IncidentHandling
ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH (1/2)
© Hitachi Systems CBT S.p.A. 2015. All rights reserved. 13
Area Maturity Needs Source Check Output Next Steps
EX POST Advanced • Log Analisys
• Low signals• Forensic
• System Logs• Packet Analysis• SIEM
• Assess Integrity• Source of Attack• Policy
Processes• Responsibilities
• Report• Escalation
Process• Legal
Impacts• Economic
Impacts
• PoliciesReview
• ControlsEfficiency
• ChangeManagement
• Penalties
ALERTING AND DETECTION DATA BREACHPREVENTIVE MEASURES AND MEASURES EX POST AFTER BREA CH (2/2)
Focus Points : change from Reactive to Proactive
OPERATIONS EMPLOYEES LEGAL IMPACTSTHESE AFFECT:
PREVENT NextGeneration
• PreserveCompliance
• Avoid / Break KillChain
• Controls• Logs• Packets• SIEM• GRC
• Assessment• Hethical Hacking• GRC• SIEM• Sandboxing• New ctrls
(DAM/PAM…)
• Reduction of IT Costs (TCO)
• Avoid Penalties
• Avoid Image disruption
• Fine tuning• Systems
Updates• New Features• Change
Management Vs Situational Awareness Security
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Gestione Data Breach
Identificazione incidente e decisione che trattasi di Data BreachIdentificazione incidente e decisione che trattasi di Data Breach
Attività di notifica al Garante (entro 72 ore) ese necessario agli Interessati (senzaindebito ritardo)
Attività di notifica al Garante (entro 72 ore) ese necessario agli Interessati (senzaindebito ritardo)
Azioni di primo contenimento, raccoltaconitnua di informazioni ed analisiAzioni di primo contenimento, raccoltaconitnua di informazioni ed analisi
Azioni per completo contenimento dellaData BreachAzioni per completo contenimento dellaData Breach
Chiusura della Data Breach ed azioniLesson LearntChiusura della Data Breach ed azioniLesson Learnt
Fasi essenziali per il piano di gestione Data Breach
Analisi Rischi/ PIA
Prescrizioni di legge/standard applicabili
Progettazione misure/aggiornamento ISMS
Implementazione, formazione e comunicazione
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Security Business Unit
15
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Security BU Offering
SOLUTIONS SERVICES
CONSULTING GOVERNANCE
Compliance
Professional Services
Technology
Cyber Security
ManagedSecurity Services
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Security BU Offering: Compliance
• DLgs 196/03• DlLgs 231/01• Circ 263/285 BI (Banking)• IVASS/ISVAP (Insurance)• Solvency II (Insurance)• ISO 31000 – Cert. about
Risk Management• ISO/IEC 27001 / 27002 /
27005 Certification forISMS.
• SOX (Compliance Rep)• PCI DSS - Credit Card
payment data.
COMPLIANCE RISK ASSESSMENT
• Integrated• ISO/IEC 27001 Cert• ISO 9001 – Quality• ISO 14000 - Environment
manag. systems andstandards
• ISO 18000 (RFID techn.)• SA 8000• ISO 22301 BC• CSA STAR – Cloud
Security• ISO 20000 – Cert.
Service ManagementSystems
RISK MGMT GOV & CERT
• DLgs 196/03 Privacy Law
• DLgs 231/01
• Sarbanes Oxley Act
• PCI DSS Credit Cardpayment data.
REGULATORY COMPL & MGMT
• COBIT IT Governance• ITIL Best Practices for IT
BUSINESS PROCESS RENG
• Custom Plans
AWARNESS & TRAINING
• Recurrent Audit• Compliance Maintenance• Data Breach procedures
AUDIT & MONITORING
� Compliance Risk Assessment� Risk Management, Governance & Certification� Regulatory Compliance Management� Business Process Re-engineering� Awareness & Training� Audit & Monitoring
Compliance
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Global SOC : Security Strategy
Cyber Security
Proactive Defense with Real-time
Analytics and Global Intelligence Service
Global SOCProtection of Critical
Infrastructure(Social Infrastructure)
SHIELDSecurity Operation Center
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Hitachi Systems Global
Italy
2014
-IN
DIA
Hitachi Systems Micro Clinic 20
13 –
SO
UT
HE
AS
T A
SIA
Hitachi Sunway Information Systems
2015
-IT
ALY Hitachi
Systems CBT
2014
-C
HIN
A Hitachi Systems (Guangzhou)
2012
–N
OR
TH
AM
ER
ICA Cumulus
Systems
2015
-C
AN
AD
A
Above Security
1. Stabilire in Italia la base dell’attivitàeuropea
2. Contribuire al business sulla social infrastructure di Hitachi Group
3. Espandere il business in tutta l’Europa
STRATEGIA
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
SOFTWARE FACTORY
Bologna
HEADQUARTER
Roma
BRANCHES
MilanoVeneziaTorinoNovara
DATA CENTERS
RomaMilano
+330PERSONE
6SEDI
OLTRE
1.200CERTIFICAZIONI
OLTRE
100PARTNER
ESPERIENZA
>35ANNI
100%SECURITY &COMPLIANCE
57MILIONI €DI FATTURATO+7% FY 2013
2DATA CENTER
36524/7SERVIZI
Highlights
“ all our customers willbe free to focus on their
core business only”
Flavio RadicePresident of the Board & CEO
© Hitachi Systems CBT S.p.A. 2015. All rights reserved.
Contacts
HEADQUARTER
ROME
Via Francesco P. Da Cherso, 30 - 00143+39 06 519931
www.hitachi-systems-cbt.com
MAIN SITES
MILAN
Via Dei Gracchi, 7 – 20146 +39 02 489571
VENICE - QUARTO D’ALTINO
Via L. Mazzon, 9 – 30020 +39 0422 19702
TURIN
Via Gian Domenico Cassini, 39 - 10129+39 011 5613567
NOVARA
Via Biandrate, 24 - 28100+39 0321 670311
BOLOGNA - CASALECCHIO DI RENO
Via Ettore Cristoni, 84 - 40033+39 051 8550501
Superior service empowered by combining the strengthof our people and information technology.