Roma 10 giugno 2010 ANGELO JANNONE
Security Summit – Roma 2010 TAVOLA ROTONDA
Il furto di informazioni: impatti legali e organizzativi e tecnologie a supporto Gli impatti legali ed organizzativi Dott. Angelo Jannone
[email protected]
Roma 10 giugno 2010 ANGELO JANNONE
EVOLUZIONE DELLO SCENARIO ANNI ‘00 ANNI ‘90 ANNI ‘80 ANNI ‘70
Spazi aperti e virtuali Competizione Esternalizzazioni e delocalizzazioni Sviluppo tecnologie
Roma 10 giugno 2010 ANGELO JANNONE
SCENARIO ATTUALE caratteristiche
Facilità di propagazione di informazioni sensibili
Era dell’UGC (User Generated Content Content))
Botnet Spam Worm Spamdexing Text message truffa Insider
Proliferazione e complessità delle tipologie di attacchi (oltre 23 milioni nel 2008)
Phishing e frodi bancarie, telefoniche e su strumenti di pagamento Ma anche riciclaggio Insider trading, etcc.. etcc..
interesse crescente della criminalita’ organizzata per il crimine informatico
Roma 10 giugno 2010 ANGELO JANNONE
…… ma sopratutto
CI
• Infrastrutture critiche nazionali • COM 702/04
ECI
• Infrastrutture critiche europee • COM 702/04
Infrastrutture critiche informatizzate
• COM 149/09 • Si stima una probabilità di avaria grave nel 2010-2020 del 10-20%
Roma 10 giugno 2010 ANGELO JANNONE
SCENARIO ATTUALE Esempio di Botnet
ATTACCO BOTNET
Roma 10 giugno 2010 ANGELO JANNONE
Gli obiettivi del sistema di controllo interno e le informazioni EFFICACIA
EFFICENZA
TRASPARENZA DEI DATI CONTABILI
INTEGRITA’ PATRIMONIALE
COMPLIANCE
Roma 10 giugno 2010 ANGELO JANNONE
GLI IMPATTI LEGALI d.Lgs 196/03 Codice sulla Protezione dei dati personali T.U.F. d.Lgs 68/98 e successive modifiche (l.62/05 e L.262/05)
Serbanes Oxley Act (SOX) 2002
Circolare ISVAP 577/05 Assicurazioni
Codice Preda Autodisciplina delle Società Quotate
D.LGS 231/01 Responsabilità Amministrativa dell’Ente da Reato (L.99/09 e l.48/08)
Basilea II
D.Lgs 70/2003 sul commercio elettronico
Roma 10 giugno 2010 ANGELO JANNONE
RESPONSABILITA’ CIVILE DI AZIENDE E ISP Un esempio FAPAV (la Federazione Anti-Pirateria AudioVisiva), ha citato in giudizio contro Telecom Italia lamentando l’inerzia di quest’ultima nella protezione da download illegali (Sentenza Trib. Roma 15 aprile 2010) Corte di Cassazione, sentenza n. 49437/09, ha affermanto il principio secondo cui l’autorità giudiziaria può ordinare agli ISP (Internet Service Providers) di inibire agli utenti il traffico di rete verso determinati siti utilizzati per la commissione di illeciti penali.
Roma 10 giugno 2010 ANGELO JANNONE
Organizzazione per la sicurezza in strutture complesse Comitato Rischi
OdV 231 Sovraintene al funzionamento del mod. 231
Valuta adeguatezza analisi dei rischi
Comitato per il controllo interno Alta direzione dello SCI
Internal Audit Legale/Complia nce Emana regole per adeguamento a norme di legge
Controllo di II Livello
Information management Process owner. Controllo di 1°livello
Security IT Politiche Politiche generali generali per la per Sicurezza la Sicurezza deglidegli asset asset Gestione risk assessment. Misure di protezione fisica
HR/Organizzazi one Definisce organizzazione, ruoli e responsabilità
HR/comunicazi one interna Progetta programmi di awerness e dirama procedure
Protezione delle informazioni e dei sistemi informativi Misure tecniche di sicurezza informatica
Responsabili del trattamento
Roma 10 giugno 2010 ANGELO JANNONE
Processo
Modello controllo integrato (Regole, filtri, protezioni)
Gap analisys Rispetto alla compliance Rispetto alla efficacia ed efficienza Rispetto alla protezione del patrimonio intangibile
Rispetto alle necessità di tracciabilità e immodificabilità del dato
RISK ASSESSMENT Framework normativo e rischi Mappatura informazioni e classificazioni Mappatura processi sensibili rispetto ai rischi legali Valutazione rischi
Roma 10 giugno 2010 ANGELO JANNONE
? Tks
[email protected]
