Archivi tag: gdpr

Forensic Readiness e Data Breach a Torino per ELSA e CSIG

Oggi ho avuto il privilegio di partecipare come relatore alla conferenza sulla “Protezione dei dati personali; profili applicativi, scenari e best practice per professionisti, imprese e Pubbliche Amministrazioni”, organizzata da ELSA Torino e CSIG Ivrea Torino, con un programma di tutto rilievo dedicato al Sistema di gestione GDPR, Analisi del Rischio e Sanità Digitale.

Forensic Readiness e Gestione dei Data Breach a Torino per ELSA e CSIG

Durante il mio intervento – dal titolo “Pillole di forensic readiness: come prepararsi a un data breach”.Cybersecurity” – ho raccontato alcune esperienze di gestione di data breach fornendo alcuni consigli su come prepararsi in modo produttivo a una eventuale attività d’informatica forense finalizzata a rispondere alle domande poster dal Garante della Privacy nel modulo di segnalazione data breach.

Durante la presentazione, ho illustrato alcuni elementi d’informatica forense che possono essere utili per la compilazione della notifica di segnalazione data breach la Garante della Privacy, proponendo una simulazione di compilazione che può essere utile per le aziende, DPO ed esperti di sicurezza informatica per autovalutare la capacità della propria struttura di supportare una indagine forense interna o esterna finalizzata a identificare cause, modalità, conseguenze, ambito e tempistiche di un data breach con violazione di dati personali.

Il programma della giornata di Studio organizzata da ELSA Torino e CSIG Ivrea si può scaricare in formato PDF, lo riportiamo qui di seguito per comodità, sottolineando che si distribuisce nelle tre giornate del 1 ottobre, 9 ottobre e 15 ottobre 2020.

1 ottobre 2020 : Sistema di gestione GDPR

ore 16-Saluti del Prof. Raffaele Caterina, direttore del Dipartimento di Scienze Giuridiche

 Presentazione ELSA Torino e CSIG Ivrea Torino e

Saluti  della Presidente dell’Ordine degli Avvocati  di Torino, Avv. Simona Grabbi

ore 16:30 : Un primo bilancio  dei primi anni di applicazione del regolamento alla luce della valutazione della commissione Europea , Prof. Massimo Durante, Università di Torino

ore 16:50:    Ruoli privacy all’interno delle imprese, Avv. Laura Marengo – Unione Industriale-

ore 17:10 : GDPR nelle amministrazioni pubbliche: Trasparenza e Foia– Prof. Sergio Foà, Università di Torino

ore 17:30 –  Il trasferimento dei dati all’estero: Prof. Marco Orofino, Università Statale di Milano

ore 17:50  – Le  ispezioni del Garante– dott.ssa Paola  Zambon

ore 18:10 –   Applicazione del GDPR nei social media: Avv. Francesca Bassa, StudioBASSA

9 ottobre  2020  GDPR- analisi del rischio

ore 16  – saluti prof.. Guido Boella, Direttore del Dipartimento di Informatica

Presentazione associazioni  ELSA Torino e CSIG Ivrea Torino

ore 16:15 – Analisi del rischio — Ing. Ezio Veiluva (Csi)

ore 16: 35  Pseudonimizzazione attraverso l’encryption, database auditing e controllo degli accessi prof. Ruggero Pensa

ore 17: 00 DPIA: Dott. Stefano Tresoldi, socio Csig

ore 17:20 – Il data breach: Dott.ssa Pinuccia Carena (Asl  Cuneo)

ore 17:40  Pillole di forensic readiness: come prepararsi a un data breach”.Cybersecurity: Dott.  Paolo Dal Checco 

ore 18:conclusioni

15  ottobre  2020  Sanità digitale e GDPR

ore 16—Saluti  ELSA Torino e CSIG Ivrea Torino

ore: 16:  –  Data protection e futuro dell’Europa prof. Francesco Pizzetti

ore 16: 30 – Le nuove sfide del Garante: IA   e GDPR, Garante privacy Prof. Guido Scorza

ore 16:45 – GDPR e ricerca:, Prof. Pierluigi Perri, Università Statale di Milano

ore 17:05 –  Il fascicolo e dossier sanitario: Alesssandra Migliore; DPO Città della salute

ore 17:25 –  Il ruolo del DPO nella sanità, avv.Ivan Tosco- Csig

ore 17:45: L’esercizio dei diritti sui dati in ambito sanitario avv. Gennaro Maria Amoruso

ore 18:05   La telemedicina: i nuovi scenari nazionali e i profili di compliance GDPR , avv. Mauro Alovisio , Csig  

ore  18: 25: Telemedicina: best pratctice  Dott.ssa Dominga Salerno ASL 3

ore 19 – Conclusioni

Pillole di Forensic Readiness all’Internet Governance Forum

Oggi ho partecipato come relatore alla conferenza Internet Governance Forum Italia di Torino, con tema videosorveglianza, sicurezza e protezione dei dati nelle città: dall’ Intelligenza Artificiale, al riconoscimento facciale, alle telecamere termiche e ai droni ai tempi del Covid: decisori, imprese e cittadini.

Il panel all’interno del quale ho portato il mio piccolo contributo verteva su un’analisi delle novità tecniche e regolatorie che hanno riguardato il sistema di controllo della videosorveglianza nelle città. Il tema è di estrema attualità anche per i rapporti con la trasparenza, la protezione dei dati, la cybersecurity, il rapporto con i cittadini, la sicurezza informatica e l’informatica forense.

Durante il panel della conferenza IGF di Torino, i relatori hanno analizzato i rischi e benefici delle tecnologie e illustrato come installare e gestire impianti nelle città nel rispetto delle garanzie dei cittadini e come conciliare la videosorveglianza con le aspettative di riservatezza delle persone.

Il mio intervento è stato orientato agli aspetti legati alla gestione dei data breach in ambito di nuove tecnologie e videosorveglianza, mostrando come anche in tale ambito risulta spesso strategica un’attività preparatoria all’indagine informatica, definita ormai da alcuni anni forensic readiness.

Pillole di Forensic Readiness - GDPR e Data Breach al IGF Forum di Torino

Si tratta, in sostanza, dell’attitudine e preparazione dell’azienda a gestire una eventuale attività d’indagine digitale, composta da acquisizione forense delle prove, analisi tecnica volta a estrarre le evidenze digitali strategiche per un’eventuale procedimento penale o causa civile, la produzione di una relazione tecnica o perizia informatica che ne documenti i passaggi. Spesso la produzione in giudizio a fini legali di prove viene realizzata con approcci e metodologie errate, è quindi importante che la catena di custodia, la strumentazione e le modalità operative siano quelle corrette, così da conferire maggiore validità alla prova informatica poterla utilizzare in Tribunale o in una eventuale notifica di data breach al Garante della Privacy o agli interessati.

Il video della conferenza su videosorveglianza è disponibile su YouTube al seguente link.

Alla giornata di conferenza sulla videosorveglianza a Torino hanno partecipato:

Moderatore

  • Chiara Bellosono

Relatori

  • Mauro Alovisio (Università Statale di Milano)
  • Lara Merla (dottoranda Università di Torino)
  • Alessandro Del Ninno  (Università LUISS Guido Carli di Roma)
  • Stefano Luca Tresoldi
  • Paolo Dal Checco (Università di Torino)
  • Stefano Manzelli (esperto sistemi di videosorveglianza) (giovane)

Promotore

  • Mauro Alovisio (Presidente dell’associazione Centro Studi di Informatica Giuridica di Ivrea)

Organizzatori

  • Mauro Alovisio
  • Lara Merla
  • Chiara Bellosono

Mini-Master in Protezione Operativa dei Dati ad Aosta

Nel mese di novembre 2019 si terrà ad Aosta il Minimaster in Protezione Operativa dei Dati, con 5 moduli formativi in 4 giornate sulla DataProtection e CyberSecurity organizzate dalle società PrivaCycura e da Security Brokers.

Un nuovo approccio alla tematica della Sicurezza delle Informazioni e dei Dati, Data Protection & CyberSecurity, studiato in base alle più innovative tecniche didattiche e di apprendimento con un approccio fortemente pratico. Proprio in quest’ottica, per massimizzare il processo di condivisione delle informazioni, ai partecipanti è richiesto di portare in aula il proprio computer personale così da metterli subito alla prova sugli strumenti e sulle metodologie illustrate a lezione. Inoltre, grazie alla possibilità di provare alcuni dispositivi per l’esecuzione di copie forensi, i partecipanti potranno simulare un’attività di acquisizione di evidenze digitali

Il Mini Master organizzato da PrivaCycura sulla Protezione Operativa dei Dati, che si terrà ad Aosta nelle prossime due settimane, vedrà quattro giorni, distribuiti su due settimane, di full immersion su GDPR, Hacking, Cybercrime e Cyber Espionage, Security Awareness, Autodifesa Digitale e Dark Web, OSINT. Durante la giornata conclusiva si terrà una simulazione di Cyber Crisis, missioni OSINT ed esame finale.

l Mini-Master si rivolge a tutte quelle professionalità che vogliono approfondire la conoscenza della cybersecurity con nozioni di informatica forense, OSINT applicato, comprensione degli ecosistemi propri dell’hacking, del cybercrime, dell’information warfare e del dark web ed, infine, teoria e pratica in autodifesa digitale. I partecipanti scopriranno come proteggere i dati personali della propria azienda o dei propri clienti, con dei cenni alle richieste normate dal GDPR. Le figure che possono beneficiare di un mini master come quello che si terrà ad Aosta sono personale IT e ICT, responsabili cybersecurity, assistenti personali, Segreterie di Direzione, Responsabili Ufficio Acquisti, Ufficio del Personale, Privacy, Internal Audit, Amministrazione e DPO. Le caratteristiche e il taglio formativo particolarmente innovativo ed efficace rendono il percorso particolarmente adatto anche a Studenti di ingegneria, informatica, Computer Science per integrare il loro curriculum accademico.

I docenti che terranno le lezioni al minimaster sono Raoul Chiesa, Mauro Alovisio, Selene Giupponi, Federico Altea, Paolo Dal Checco e Matteo Vinci.

L’evento, che si terrà nei giorni 5 / 6 / 12 / 13 novembre 2019, è accreditato all’Ordine degli Avvocati e fornisce 12 crediti formativi.

Il programma del Mini-Master in Protezione Operativa dei Dati che si terrà ad Aosta è il seguente:

Martedì 05 Novembre 2019

La protezione dei dati personali nel GDPR, Hacking, Cybercrime e Cyber Espionage

09:00/09:30Presentazione del corso
Relatori: Selene Giupponi, Raoul Chiesa, Mauro Alovisio, Federico Altea

09:30/13:00 – La protezione dei dati personali nel GDPR, dalla teoria alla dura realtà

  • La protezione dei dati personali e l’approccio risk-based del Regolamento UE.
  • Sanzioni e ispezioni del Garante e della Guardia di Finanza.
  • La gestione degli audit interni per la data protection.

Approfondimento: Artificial Intelligence, algorithmic systems, profilazione e tutela dei dati personali. Questa prima sessione si concentra sull’art. 32 del GDPR (sicurezza del trattamento). Vengono analizzati i casi in cui è consigliata la pseudonimizzazione e la cifratura dei dati personali con approfondimenti pratici sull’obbligo di valutazione del livello di sicurezza.Relatori: Mauro Alovisio, Federico Altea

14:00/18:00 – Hacking, Cybercrime e Cyber Espionage

Vengono introdotti i concetti di Cybercrime, Cyber-espionage e Information Warfare.
Lo scopo di questa sessione è fornire gli strumenti di base per la comprensione e l’analisi dei rischi e delle minacce legate al cybercrime, al cyber-espionage e all’information warfare.Relatori: Raoul Chiesa e Selene Giupponi

Mercoledì 06 Novembre 2019

Security Awareness

9:00/13:00

Al termine del modulo il partecipante avrà un’ampia conoscenza dei principali aspetti legati alla sicurezza informatica e sarà in grado di comprendere le dinamiche proprie del cyberspazio, valutandole nel loro complesso e nel loro continuo mutamento. Inoltre potrà mettere in pratica le strategie e le azioni adeguate alle necessità che si troverà ad affrontare.

  • Cultura della information security;
  • Scenari di attacco, italiani ed internazionali;
  • Storia dell’underground e profili hacker;
  • Ritorno dell’investimento di sicurezza (ROSI);
  • Prevenzione e preparazione;
  • Strategie tecniche di difesa;
  • Strategie umane di difesa;
  • Reazione e contromisure.

Relatori: Selene Giupponi, Raoul Chiesa

Autodifesa Digitale e Dark Web

14:00/18:00

Nel modulo vengono illustrati i concetti base dell’autodifesa digitale. Lo scopo è fornire le conoscenze minime, teoriche e pratiche, per l’utilizzo dei principali strumenti di cifratura, cancellazione sicura, navigazione anonima, cifrature di file su hard disk e supporti USB, etc. Gli argomenti affrontati sono di supporto sia in ambito lavorativo, sia nella vita quotidiana, per esempio per il recupero di dati erroneamente cancellati da supporti USB esterni, HardDisk.

  • Recuperare documenti cancellati da PC, chiavette USB e Memory Card;
  • Recuperare contatti, SMS, foto e file da cellulari e smartphone;
  • Inviare e ricevere email cifrate;
  • Criptare e decriptare file, Hard Disk e archivi rimovibili;
  • Metodi di autodifesa digitale: cancellazione sicura, navigazione anonima, VPN, etc;
  • Effettuare chiamate vocali cifrate;
  • Live Demo, sessioni pratiche e di laboratorio.

Relatori: Selene Giupponi, Raoul Chiesa

Martedì 12 Novembre 2019

OSINT – Open Source Intelligence

09:00/13:00
14:00/18:00

In questo modulo vengono esposte le nozioni e le conoscenze di base per coloro che si affacciano per la prima volta al mondo dell’intelligence e nello specifico dell’OSINT (open source intelligence).

  • Il mondo dell’intelligence
  • OSINT: storia e definizioni
  • Metodologia e caratteristiche delle fonti aperte
  • Strategie di ricerca
  • Motori di ricerca standard e non: come usarli al meglio?
  • I software di ricerca, OSS e commerciali: pro e contro

Relatori: Paolo Dal Checco, Matteo Vinci

Mercoledì 13 Novembre 2019

Simulazione di cyber crisis, missioni OSINT ed esame finale.

09:00/13:00 – Simulazione di Cyber Crisis

  • Spiegazione dello scenario e suddivisione in gruppi di lavoro
  • Simulazione di denuncia di data breach al Garante per la protezione dei dati personali.
  • Recap dello scenario di crisi e simulazione della crisi aziendale.
  • Presentazione dei risultati dei gruppi di lavoro

In questa giornata verranno svolti diversi laboratori pratici, sugli argomenti trattati nei precedenti moduli. L’attività inizierà con la consegna di un esempio d’incidente di Cybersecurity in azienda con la spiegazione dello scenario e di tutti i suoi attori.

L’aula verrà divisa in gruppi di lavoro. Ogni gruppo dovrà prima simulare la denuncia al Garante per data breach e poi illustrare le attività aziendali conseguenti alla crisi.Relatori: Raoul Chiesa, Matteo Vinci

14:00/17:00 – Missioni OSINT ed esame finale.

  • Live Demo di strumenti OSINT e CSINT
  • Missioni OSINT
  • Esame finale

Dopo una breve demo di alcuni strumenti OSINT e CSINT, i gruppi di lavoro formati al mattino dovranno affrontare diverse missioni OSINT, utilizzando gli strumenti illustrati nella terza giornata di corso.

L’esame finale non sarà un test per decidere “bocciati o promossi”, ma una serie di domande che ogni partecipante si porter “a casa” per successivi approfondimenti personali!Relatori: Raoul Chiesa, Matteo Vinci, Mauro Alovisio, Federico Altea

Workshop su Cybersecurity, GDPR, Data Breach e Sicurezza ad Aosta

Mercoledì 2 ottobre 2019 si terrà ad Aosta il workshop gratuito su Cybersecurity, GDPR, Data Breach e Sicurezza delle Informazioni durante il quale si parlerà di Privacy, Data Protection, GDPR, dark web, data breach, compliance e sicurezza informatica insieme.

Workshop su Cybersecurity, GDPR, Data Breach

Organizzato da PrivacyCura e Security Brokers, il seminario che si terrà ad Aosta sarà l’occasione per presentare il Minimaster Altea in Protezione Operativa dei Dati in ottica compliance al GDPR che, dopo il successo delle edizioni passate, si rinnova anche quest’anno con le sedi di Torino e Aosta. Il Mini-Master PrivaCycura ha un taglio pratico e operativo e copre argomenti come GDPR, hacking, cyber-espionage, strategie di difesa come cancellazione sicura, VPN, navigazione anonima con TOR, cifratura, OSINT, dark web.

La conferenza gratuita durerà mezza giornata ed è accreditata come formazione obbligatoria all’ordine dei Commercialisti di Aosta ed è aperta ai professionisti di tutta Italia, fornendo 4 crediti formativi.

Il programma del workshop che si terrà ad Aosta il 2 ottobre 2019 è il seguente:

  • 09.00 — Registration Desk, Apertura della sala.
  • 09.20 — Inizio dei lavori. Saluti di benvenuto. Presentazione delle Sessioni e dei Relatori. (Federico Altea + Raoul Chiesa)
  • 09.30 — Privacycura e Security Brokers insieme, per un approccio concreto, snello e multidisciplinare (Federico Altea + Raoul Chiesa)
  • 09.40 — Cybercrime, Data Breach, il Dark Web ed i vostri dipendenti: cosa se ne fa il Cybercrime dei dati delle aziende – e dove sono, questi dati? (Raoul “Nobody” Chiesa, Presidente Security Brokers + Paolo Dal Checco, Consulente informatico forense)
  • 10.40 — Presentazione del primo Mini-Master in Protezione Operativa dei Dati in ottica compliance al GDPR. (Privacycura e Security Brokers + Paolo Dal Checco, Consulente informatico forense)
  • 11.00 — “Siamo GDPR compliance: e chi vuoi che ci attacchi?? Non siamo interessanti per nessuno”. Case Study reali di aziende violate, Cybercrime e Cyber Espionage – e cosa hanno sbagliato. (Ing. Selene Giupponi, Responsabile Cyber Investigation Unit, Security Brokers)
  • 11.30 — Il diritto tra “dolce teoria e dura realtà”: gli errori delle aziende nella compliance al GDPR, scenari e buone prassi. (Avv. Mauro Alovisio, Presidente Centro Studi Informatico-Giuridico di Ivrea Torino e Fellow Centro di ricerca Nexa)
  • 12.00 — Un giro tra “i peggior bar di Caracas” alla ricerca dei vostri dati: andiamo insieme in Rete (e sul Dark Web) – sessione on-line LIVE. (Ing. Selene Giupponi.9
  • 12.40 — Chiusura dei lavori. (Federico Altea, Privacycura)
  • 12.50 — Networking Aperitif.

Per informazioni o iscrizioni si rimanda alla pagina ufficiale del workshop.

I controlli preventivi e investigativi sulle frodi aziendali

Martedì 17 settembre 2019 si terrà a Milano il seminario Paradigma sui controlli preventivi e investigativi sulle frodi aziendali, durante il quale saranno analizzate e presentate la disciplina e la struttura dei controlli preventivi e investigativi che le aziende possono mettere in atto per contrastare frodi, reati economico-finanziari e violazioni dei segreti industriali.

Paradigma - Controlli Preventivi e Investigativi sulle Frodi Aziendali

Sarà presentato il ruolo dei controlli preventivi e investigativi nell’ambito di un modello evoluto per la prevenzione degli illeciti, approfondendone i profili organizzativi, i profili giuridici e i profili connessi alla tutela dei dati personali. Saranno inoltre analizzati i profili tecnologici, presentando i nuovi strumenti a supporto delle indagini interne.

L’evento si rivolge agli Internal Auditors, ai Responsabili dell’Area Legale e Compliance, ai Risk Manager, ai Componenti dell’Organismo di Vigilanza, ai Responsabili Antifrode, ai Componenti del Collegio Sindacale e, in generale, ai professionisti che intendono approfondire le tematiche di controllo e gestione del rischio di frodi aziendali come Avvocati e Giuristi d’impresa.

Il programma del seminario è il seguente:

I controlli preventivi e investigativi nell’implementazione di un modello evoluto per la prevenzione, identificazione e gestione delle frodi, Dott. Fabrizio Santaloia (EY)

  • L’interazione tra Modello 231, sistemi di risk assessment e prevenzione delle frodi
  • I modelli organizzativi a confronto nelle aziende e nelle istituzioni finanziarie
  • La gestione del piano rimediale in caso di commissione di un illecito 231
  • I controlli preventivi: filtri e deterrenti
  • Gli indicatori di anomalia e i red flag a sistema

La prevenzione dei reati informatici e la conduzione delle indagini Avv. Marco Tullio Giordano ( LT42)

  • L’evoluzione di reati informatici: il cybercrime
  • I reati informatici e il Modello 231
  • Il ruolo delle policy aziendali: dall’uso degli strumenti alla segnalazione degli incidenti
  • La gestione dei log: profondità e retention
  • Gli elementi chiave nelle indagini sui reati informatici

L’organizzazione di un’indagine interna: fasi operative, gestione delle informazioni e esecuzione dell’indagine, Dott. Enrico Cimpanelli (Grant Thornton Financial Advisory Services)

  • La gestione iniziale della crisi
  • Le fasi operative del processo
  • La raccolta delle informazioni interne ed esterne necessarie
  • L’esecuzione dell’indagine
  • L’attività di reporting
  • Il processo di Fraud Investigation in un caso concreto
  • La fase post frode
  • I principali profili giuridici nella conduzione delle indagini interne, Avv. Giuseppe Vaciago (R&P Legal)
  • Vantaggi e svantaggi di un’indagine difensiva
  • I controlli difensivi
  • La necessità di un mandato difensivo
  • La legittimazione dei soggetti deputati alle indagini
  • L’utilizzabilità delle prove digitali acquisite in violazione dell’art. 4 dello St. Lav.

Lo svolgimento di indagini interne alla luce dell’applicazione del GDPR: regole pratiche e processi rilevanti, Prof. Avv. Alessandro Del Ninno (LUISS Guido Carli di Roma, Studio Legale Tonucci & Partners)

  • Controlli difensivi e controlli/monitoraggi preventivi leciti: le differenze nell’ottica della disciplina privacy
  • Il monitoraggio a scopo di controllo dell’utilizzo degli strumenti di lavoro: regolamenti e disciplinare interno
  • La casistica del Garante privacy sui controlli
  • Gli illeciti che comportano violazione dei dati personali: GDPR, data breach e processi pratici di gestione delle segnalazioni
  • Lo svolgimento della Valutazione di Impatto (DPIA) nell’ambito delle procedure interne di controllo

Le nuove tecnologie forensi a supporto delle indagini interne, Dott. Luca Marzegalli (EY)

  • Forensic data analytics: collegare le informazioni nascoste nei sistemi aziendali
  • L’evoluzione dell’E-discovery 2.0: Technology assisted review (Machine Learning)
  • Cyber frauds: nuovi strumenti di identificazione

L’implementazione della procedura di whistleblowing quale strumento di policy antifrode, Dott. Gianluca Gilardi (LT42)

  • La regolamentazione delle segnalazioni in azienda
  • La direttiva europea sul Whistleblowing
  • Il processo di gestione delle segnalazioni
  • Le cautele privacy alla luce del GDPR
  • Il ruolo delle tecnologie IT a supporto

Frodi aziendali e posta elettronica: misure tecniche e analisi forensi, Dott. Paolo Dal Checco (Consulente Informatico Forense)

  • Abstract: Tipi di frodi e reati comunemente commessi tramite posta elettronica
  • Misure preventive per la sicurezza degli utenti e la protezione dei dati
  • Problematiche tecniche legate ai controlli delle caselle di posta
  • Analisi forense dei messaggi e delle caselle di posta elettronica
  • Perizia tecnica sui log di accesso alla posta, invio e ricezione messaggi