INTERNAL AUDITING Gruppo Compliance Auditing Patrizia Belluomo Workshop

INTERNAL AUDITING Gruppo Compliance Auditing Patrizia Belluomo Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) --------- Patrizia Belluomo

Obiettivi: Rispetto dei diritti e liberta delle persone fisiche prevenzione adeguata ed efficace Risk Assessment ASSET Vulnerabilità Contromisure Minacce Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Le minacce sui dati personali e le informazioni in senso lato. . . Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

PERCHE’. . . Articolo 32 GDPR Sicurezza del trattamento (C 83) 1. Tenendo conto …. il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Misure Paching S. O. e g n Software o r St n o i t a c i t n e h t Au Dat a prev loss enti on Pseudominizzazione-Cifratura Seg men Cyber Intelligence dell tazione e re ti Framwork di Sicurezza Penetration test Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Rish assessment Patrizia Belluomo

Misure per Assicurare Riservatezza, Integrità, Disponibilità e Resilienza Ripristinare Disponibillità Testare, verificare e Valutare l’efficacia delle misure tecniche Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Tenendo conto: 2) Rischio distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3) Metodi dimostrare la conformità 4) Chiunque agisce sotto la propria autorità non tratti tali dati se non e istruito Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Art. 82, co. 3: «Il titolare del trattamento o il responsabile del trattamento e esonerato dalla responsabilita (. . . ) se dimostra che l'evento dannoso non gli e in alcun modo imputabile. » Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

INTERNAL AUDITING Gruppo Compliance Auditing Esperienze il WP 29 nel suo parere WP 173 indicava lo strumento utile a tale fine: 53. Esistono vari metodi a disposizione dei titolari del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

INTERNAL AUDITING Gruppo Compliance Auditing Il processo AUDIT = (UNI EN ISO 19011 Par. 3. 1) Processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutare con obbiettivita , al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

ALCUNE DEFINIZIONI • Programma di audit: insieme di uno o più audit pianificati per un arco di tempo definito • Piano dell’Audit: descrizione delle attività e delle disposizioni per eseguire un audit • Criteri dell’audit: insieme di politiche, procedure o requisiti • Evidenza dell’audit: registrazioni, enunciazioni di atti o altre informazioni che sono pertinenti ai criteri dell’audit e verificabili. • Risultanze dell’Audit: risultati della valutazione delle evidenze dell’Audit raccolte rispetto ai criteri dell’audit • Conclusioni dell’Audit (Report): esito di un Audit Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Controlli essenziali di Cybersecurity MM - Misure Adeguate https: //web. infn. it/CCR/index. php/it/sito-utenti-del-calcolo/sicurezzainformatica dpo. infn. it Inventario dispositivi e software Controllo 1 Governance Controllo 5 Protezione da malware Controllo 6 Gestione password e account Controllo 7 Controllo 2 Controllo 8 Controllo 3 Controllo 9 Formazione e consapevolezza Controllo 10 Protezione dei dati Controllo 11 Controllo 12 Proteione delle reti Controllo 13 Prevenzione e mitigazione Controllo 14 Controllo 15 Controllo 4 Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Metodologia Operativa Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Attività ricorsive per un sistema di gestione sul trattamento dei dati personali Speranze Politiche, Obiettivi e Miglioramento (95 NC 128 AM) Audit Interni (20 ad oggi) Riesame della Direzione (2) Analisi del Rischio (5) Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Follow Up • … la sequenza di azioni tramite le quali: - si accerti dell’efficacia e tempestività delle azioni correttive intraprese dal management in risposta ai rilievi loro comunicati. - oppure che il vertice abbia deciso di accettare il rischio. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Accettazione del rischio ( o rinuncia ad azioni correttive) - non può essere tacita - deve sempre risultare da un documento formale da parte del vertice. - Il rischio può essere accettato solo in funzione di una precisa assunzione di responsabilità. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Follow Up • Revisione della Direzione verbalizzata che prenda in carico le eventuali Non Conformità rilevate. Verbalizzare le azioni che si intendono intraprendere per ogni punto specifico di NC e AM rilevate, specificando la tempistica necessaria e adeguata per la risoluzione. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Follow Up • Conservazione delle Evidenze • Firmare e conservare copie della documentazione prodotta dal gruppo di Auditor e quella della Revisione della Direzione. • Eventuale verifica di terza parte considera il lavoro fatto con L’audit interno e le conseguenti azioni schedulate, non imputabili se risolte entro i tempi stabiliti e adeguati. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Follow Up Conservazione della documentazione a cura degli Auditor • Inviare tutta la documentazione al Lead Auditor che la conserverà in un repository ufficiale con visione riservata solo al gruppo Auditors e ai DPO. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

Follow Up Verifica delle azioni intraprese • un Audit interno all’anno e a richiesta, a cambiamenti significativi del sistema. • Viene ripresa la documentazione del precedente Audit e registrate le implementazioni che sono state effettuate a seguito delle segnalazioni. Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

GRAZIE

• Art. 4 del GDPR: • "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che puo essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o piu elementi caratteristici della sua identita fisica, fisiologica, genetica, psichica, economica, culturale o sociale; Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo

APPENDICE D: Classi di dati C 200 Dettagli personali Sono incluse in questa categoria le classi di dati che identificano l'interessato e le loro caratteristiche personali. Esempi sono nomi, indirizzi, dettagli di contatto, età, sesso, data di nascita, descrizioni fisiche, identificatori emessi da enti pubblici, ad esempio il numero NI. C 201 Famiglia, stile di vita e circostanze sociali Sono inclusi in questa categoria tutte le questioni relative alla famiglia della persona interessata e allo stile di vita e alle circostanze sociali della persona interessata. Gli esempi sono dettagli sull'attuale matrimonio e partnership e storia civile, dettagli sulla famiglia e altri membri della famiglia, abitudini, alloggio, dettagli di viaggio, attività ricreative, iscrizione a organizzazioni caritatevoli o di volontariato. C 202 Dettagli sull'istruzione e la formazione Sono inclusi in questa categoria tutti gli argomenti relativi all'istruzione e qualsiasi formazione professionale o soggetto dei dati. Esempi sono record accademici, qualifiche, competenze, record di formazione, esperienza professionale, record di studenti e alunni. C 203 Dettagli sull'occupazione Inclusi in questa categoria ci sono tutte le questioni relative all'impiego dell'interessato. Esempi sono la storia lavorativa e professionale, i dettagli relativi all'assunzione e alla disdetta, il registro delle presenze, i registri di salute e sicurezza, le valutazioni delle prestazioni, i registri di addestramento, i registri di sicurezza. C 204 Dettagli finanziari Inclusi in questa categoria ci sono questioni relative agli affari finanziari dell'interessato. Esempi sono reddito, salario, attività e investimenti, pagamenti, merito di credito, prestiti, benefici, sovvenzioni, dettagli assicurativi, informazioni sulla pensione. C 205 Beni o servizi forniti Inclusi in questa categoria ci sono classi di dati relativi a beni e servizi che sono stati forniti. Esempi sono dettagli dei beni o servizi forniti, licenze rilasciate, accordi e contratti. C 206 Origine razziale o etnica C 207 Pareri politici C 208 Religiose o altre credenze di natura simile C 209 Iscrizione al sindacato C 210 Condizioni fisiche o mentali C 211 Vita sessuale C 212 Reati (compresi i presunti reati) C 213 Atti, esiti e condanne penali Workshop di CCR INFN (La Biodola Isola D’Elba, 3 -7 giugno 2019) Patrizia Belluomo