Gestione delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, in ottemperanza a quanto previsto dalla circolare 18 aprile 2017, n. 2/2017 dall’AGID Agenzia per l’Italia Digitale
Si prevede lo svolgimento delle seguenti attività:
- analisi e ricognizione della situazione attuale in termini di architettura hardware e software e struttura organizzativa;
- conduzione analisi dei rischi e gap analysis;
- predisposizione mappa dei sistemi e inventario software e hardware;
- predisposizione inventario risorse attive correlato a quello ABSC 1.4;
- predisposizione elenco dei software autorizzati dal Dirigente Scolastico;
- predisposizione procedure operative per l’implementazione di vincoli che non consentano l’installazione di software non compreso nel suddetto elenco;
- esecuzione scansioni sui sistemi per la rilevazione di software non autorizzato;
- definizione configurazioni sicure standard per la protezione dei sistemi operativi;
- verifica e certificazione che le operazioni di amministrazione di sistema remote di server, workstation e dispositivi di rete siano effettuate per mezzo di connessioni sicure;
- scansione di vulnerabilità ai sensi del punto 4.1.1 della circolare AGID;
- predisposizione piano di gestione dei rischi;
- limitazione dei privilegi di administrator ai soli utenti che abbiano competenze adeguate e la necessità operativa dimostrabile di modificare la configurazione dei sistemi;
- censimento account di administrator;
- individuazione e inventariazione soggetti che operano con qualifica o comunque profilo di administrator;
- predisposizione lettere di nomina ad amministratore di sistema (soggetti sia interni che esterni);
- predisposizione procedure operative e modelli di segnalazione di eventi di tipo “data breach”;
- predisposizione mansionari, procedure operative e regolamenti ad hoc;
- compilazione dell’allegato 2 alla succitata circolare AGID.
Assunzione ruolo e responsabilità di Responsabile della Protezione dei Dati (RDP o “Data Protection Officer”), ai sensi ed in ottemperanza a quanto previsto dagli artt. 37, 38 e 39 del Regolamento Europeo
Si prevede lo svolgimento delle seguenti attività:
- adempiere a quanto previsto dall’art. 37 comma 1 lettera a) del Regolamento UE che prevede l’obbligo di nomina del Responsabile della Protezione dei Dati (“Data Protection Officer”);
- vigilare sull’operato di responsabili ed incaricati del trattamento relativamente alla corretta esecuzione delle istruzioni contenute in lettere di nomina, mansionari, regolamenti, disposizioni operative etc.;
- fornire pareri tecnico – legali in merito all’impatto che le nuove tecnologie (es. dati in cloud) e le nuove procedure operative avranno sulla protezione dei dati;
- affiancare il Titolare del trattamento (Dirigente Scolastico) al fine di informarlo e fornire consulenza specialistica relativamente agli obblighi derivanti dal Regolamento UE, da successivi Codici di Comportamento e Schemi di Certificazione emessi dall’Autorità Garante;
- valutare la fondatezza e la liceità di richieste di accesso ai dati personali e di esercizio del diritto all’oblio esercitate dagli interessati;
- fornire supporto in fase ispettiva, qualora l’Istituto fosse oggetto di ispezione o verifica da parte dell’Autorità Garante per la Protezione dei Dati Personali, della Guardia di Finanza, della Polizia Postale o più in generale delle Autorità competenti;
- valutare se sussistano i presupposti per la notificazione di un evento di tipo “data breach”; se del caso, compilare il relativo modello e provvedere alla notificazione al Garante;
- eseguire la valutazione dei rischi inerenti al trattamento dei dati personali;
- informare il Dirigente Scolastico ed i referenti circa le previsioni normative e le procedure da adottare per non incorrere nelle violazioni e nelle conseguenti sanzioni.
Gestione chiavi in mano degli adempimenti previsti da GDPR Regolamento Europeo 2016/679
Si prevede lo svolgimento delle seguenti attività:
- ricognizione della situazione attuale in termini di:
- Struttura organizzativa
- Banche dati trattate
- Architettura hardware e software.
- predisposizione del Registro dei trattamenti;
- data Protection Impact Assessment, comprensivo di analisi dei rischi relativi a:
- aspetti legali, normativi e organizzativi
- luoghi fisici
- risorse hardware
- risorse logiche
- accessi ad Internet
- risorse dati (cartacei ed elettronici)
- trattamenti effettuati mediante architetture in cloud
- individuazione delle misure di sicurezza
- stesura del piano di attuazione delle misure di sicurezza
- revisione processi, sistemi e modulistica in ottica di Privacy by Design e Privacy by Default
- predisposizione nuove informative
- predisposizione lettere di nomina per le varie figure previste dal GDPR e quelle ritenute comunque necessarie a fronte di analisi dei rischi e registro dei trattamenti (Titolare, Responsabile, Incaricato, Custode delle Password, Amministratore di Sistema, Azienda esterna, Consulenti o collaboratori esterni)
- predisposizione procedure operative:
- Riscontro all’interessato
- Diritto all’oblio
- Portabilità dei dati
- Gestione delle password
- Profilazione degli utenti
- Smaltimento e riutilizzo dei supporti di memorizzazione e strumenti elettronici
- Gestione del salvataggio e ripristino dei dati
- Altre procedure operative
- predisposizione del Regolamento per il corretto utilizzo degli strumenti informatici e telematici
Corsi di formazione specialistica a personale amministrativo e docente
Si prevede di tenere sessioni formative plenarie di due tipologie:
- dedicate a Dirigenti, personale di segreteria ed, eventualmente, al personale del settore tecnico;
- dedicate al personale docente, se presente.
Il taglio degli interventi dedicati a DS, DSGA, personale di segreteria sarà molto interattivo e pratico, mantenendo al minimo l’esposizione della teoria e privilegiando la trattazione di casi pratici e dando adeguato spazio alle importanti domande dei partecipanti.
I corsi sono tenuti da relatori di adeguata seniority e standing, con profonda conoscenza della materia, in grado quindi di rispondere con precisione e cognizione di causa a qualsiasi quesito venga posto.
Alla fine dell’intervento può venire rilasciato un regolare attestato di partecipazione, unitamente ad una relazione con l’esplicitazione di indicatori quantitativi e qualitativi di gradimento.
Possibilità di videoriprendere l’esposizione del relatore
Nel caso l’Istituto lo ritenesse utile, viene data la possibilità di effettuare riprese filmiche (con videocamere, smartphone etc.messe a disposizione dall’Istituto) l’incontro formativo, in modo da poter permettere anche a chi era assente o impossibilitato a partecipare, di rivedere il corso e di maturare quindi una certa conoscenza delle problematiche trattate.
Dieci Ticket per quesiti successivi
Abbiamo avuto modo di rilevare che spesso i quesiti più importanti e significativi da parte dei partecipanti sorgono qualche giorno dopo aver partecipato al corso e aver di conseguenza assimilato il materiale e le nozioni presentate.
Per questo motivo risulta particolarmente utile e gradita la possibilità di porre quesiti di qualsiasi tipo, ai quali viene data risposta in forma scritta nel tempo massimo di tre giorni lavorativi.
Nel prezzo dell’intervento formativo sono inclusi dieci Ticket da utilizzarsi nei dodici mesi successivi alla data di stipula del contratto.
Programma del corso
Fermo restando il taglio fortemente interattivo dell’intervento e lo spazio lasciato alle domande poste dai partecipanti, si prevede di seguire il seguente programma di massima:
- Perché il nuovo Regolamento Europeo
- Come “lavora” il nuovo Regolamento: differenze con l’attuale quadro normativo
- Il principio di responsabilizzazione
- La figura del data protection officer
- Il registro dei trattamenti
- Il privacy impact assessment
- Protection by design e protection by default
- L’obbligo di notificazione del data breach
- Le misure di sicurezza
- I codici di condotta e le certificazioni
- Il quadro sanzionatorio.
Profilo dei nostri professionisti DataSecurity
Dott. Giancarlo Favero
Cinquantaquattro anni, laureato in Scienze dell’Informazione è attualmente responsabile dell’area nord-ovest e project manager di Data Security, dove è attivamente coinvolto in interventi di consulenza e formazione specialistica in materia di sicurezza e protezione dei dati personali al personale tecnico e al management nel mondo della Pubblica Amministrazione, della Sanità e della grande industria. In qualità di formatore, tiene circa sessanta giornate all’anno di formazione frontale in aula, anche in regime di accreditamento ECM da Regione Lombardia e Regione Veneto.
Ha iniziato la sua carriera in Andersen Consulting (ora Accenture, www.accenture.com) occupandosi di tecnologie innovative e integrazione di sistemi, fornendo consulenza ad aziende italiane e internazionali quali Philip Morris (Svizzera e Germania), Bancomer (Messico), L’Oreal (Francia), Telmex (Messico), TIM, Sandoz/Novartis, Italcementi, Wind, Olivetti, Telecom Italia.
Successivamente per A.T. Kearney (www.atkearney.com) e EDS (www.eds.com) si è occupato dell’implementazione dei sistemi informativi e di gestione della sicurezza per vari operatori di telecomunicazioni, tra i quali TIM, Telefonica de Espana, WIND e Telecom Italia, dove si è occupato di sicurezza informatica, protezione dei dati personali, sistemi antifrode e sistemi per la gestione delle intercettazioni telefoniche.
Prima di entrare in Data Security si è occupato di sicurezza e privacy presso varie realtà, fornendo consulenza e formazione a clienti quali TIM, Albacom, Ministero dei Lavori Pubblici, Ministero del Tesoro, Dipartimento della Funzione Pubblica, Consiel, Consip, Comune di Roma, Ministero della Salute, ASL di Brescia e circa ottocento tra Comuni, Istituti Scolastici e Comprensivi, Aziende Sanitarie Locali, Aziende Ospedaliere, Aziende Consortili per la gestione dei Servizi Sociali e Aziende Municipalizzate.
Attualmente, nell’ambito dei progetti seguiti da DataSecurity, è Data Protection Officer per decine di Istituti Scolastici e Comprensivi e CSO – Chief Security Officer e DPO per Dynamic Technologies, multinazionale con migliaia di dipendenti e sedi in Italia, Regno Unito, Ungheria, Polonia, Canada, Messico e Cina.
Oltre all’attività di consulenza e formazione, partecipa attivamente in qualità di relatore/moderatore al Forum sulla Privacy della Maggioli all’interno del portale www.comuni.it.
Dott. Ing. Gian Luca Marcialis
Ricercatore confermato dell’Università degli Studi di Cagliari, afferente al Dipartimento di Ingegneria Elettrica ed Elettronica, abilitato a Professore Associato dal dicembre 2013.
E’ responsabile delle attività di ricerca della Divisione Biometria del Laboratorio di Riconoscimento di Forme ed Applicazioni diretto dal Prof. Fabio Roli (http://pralab.diee.unica.it).
Le principali attività di ricerca del Dott. Marcialis riguardano lo studio dei sistemi di impronte digitali e delle vulnerabilità dovute alle contraffazioni (impronte falsificate), architetture dei sistemi multi-modali basati su volti ed impronte, sistemi biometrici adattativi e sistemi di videosorveglianza. Su queste tematiche il Dott. Marcialis è coautore di oltre cento articoli tra riviste scientifiche, capitoli di libro ed atti di conferenze, tutte di livello internazionale.
In particolare, ha ricevuto il “2014 Premium Award for Best Paper in IET Biometrics“, rivista internazionale, assieme ai coautori dell’articolo “Security evaluation of biometric authentication systems under real spoofing attacks” (DOI: 10.1049/iet-bmt.2011.0012).
Il Dott. Marcialis svolge regolarmente ruolo di Associate Editor ed Editorial Review Board member per diverse riviste internazionali, ed è Programme Committee Member di conferenze internazionali nell’ambito della sicurezza biometrica (in particolare, Int. Joint Conference on Biometrics).
E’ co-organizzatore delle edizioni della “International Fingerprint Liveness Detection Competition” (LivDet, http://livdet.diee.unica.it), competizione che, biennalmente dal 2009, vede la partecipazione di aziende ed accademie internazionali impegnate nel campo della protezione dei sistemi di impronte digitali dalle contraffazioni.
Ha partecipato allo svolgimento di progetti internazionali (FP7 Tabula Rasa, MAVEN) e nazionali (PRIN, POR-RAS), ed ha collaborato sia con partner pubblici che privati per la realizzazione di sistemi biometrici prototipali.
E’ membro IAPR e IEEE.
E’ stato relatore ai Corsi organizzati da DataSecurity sul tema:
Biometria: tecniche, normativa e applicazioni per i Responsabili della Presidenza del Consiglio dei Ministri
Titolo dell’intervento: Tecnologie biometriche da toccare con mano.
Prof. Gian Luca Foresti
Direttore del Dipartimento di Scienze Matematiche, Informatiche e Fisiche (DMIF)
Direttore del laboratorio ARTIFICIAL VISION and REAL-TIME SYSTEM (AVIRES)
Gian Luca Foresti si è laureato cum laude in Ingegneria Elettronica nel 1990 ed ha conseguito il Dottorato di Ricerca in Informatica nel 1994 presso l’Università di Genova.
Nel 1994-95 è stato docente incaricato all’Università di Trento nell’ambito del corso di laurea in Ingegneria Elettronica. Attualmente è professore ordinario presso il Dipartimento di Scienze Matematiche, Informatiche e Fisiche dell’università di Udine.
E’ stato principali investigator di numerosi progetti nazionali ed internazionali promossi dall’Unione Europea, dalla NATO e dall’EDA nell’ambito dei veicoli a guida autonoma e dei sistemi di sorveglianza ambientale attiva.
Il Prof. Foresti è autore e co-autore di più di 350 pubblicazioni internazionali, libri e atti di conferenze.
Il Prof. Foresti è revisore per numerose riviste internazionali ed è Senior Member IEEE e Full Member IAPR.
E’ stato relatore ai Corsi organizzati da DataSecurity sul tema:
Biometria: tecniche, normativa e applicazioni per i Responsabili della Presidenza del Consiglio dei Ministri
Titolo dell’intervento: Limiti e tecniche di contraffazione nella sicurezza biometrica
Avv. Stefano Corsini
Conseguita la maturità classica si è laureato in Giurisprudenza con una tesi in Diritto Privato su “La sicurezza nel trattamento dei dati personali – tutela giuridica della privacy in Internet e strumenti tecnologici per la sicurezza informatica”.
Esercita la professione di avvocato presso il Foro di Pordenone, in particolare nel campo del diritto dell’informatica e delle nuove tecnologie, prestando assistenza e consulenza in ambito giudiziale e stragiudiziale per aziende ed enti pubblici.
Dal 2012 ricopre la carica di Consigliere dell’Ordine degli Avvocati di Pordenone con delega all’Informatica ed è Presidente della Commissione Informatica dell’Ordine degli Avvocati della Provincia di Pordenone e membro della Commissione Informatica dell’Unione Triveneta degli Ordini Forensi.
Ha collaborato nel 2009 con Repubblica.it, dal 2009 al 2011 è intervenuto più volte in diretta a Radio Montecarlo sulle tematiche del diritto dell’informatica e nel 2013 è stato intervistato da Rai 3 Friuli Venezia Giulia sul problema della privacy e l’utilizzo dei dispositivi mobili.
Formatore e docente per primari enti di formazione del Veneto e del Friuli Venezia Giulia, accanto all’attività giudiziale e stragiudiziale ha svolto numerosi interventi a convegni e seminari sui temi della privacy, sicurezza nei luoghi di lavoro, amministrazione digitale, responsabilità amministrativa degli enti, anticorruzione e trasparenza.
Ha collaborato alla redazione del “Glossario di Diritto delle nuove tecnologie e dell’E-government ” edito da Giuffré e pubblicato a novembre 2007.
E’ stato relatore ai Corsi organizzati da DataSecurity sul tema:
Biometria: tecniche, normativa e applicazioni per i Responsabili della Presidenza del Consiglio dei Ministri
Titolo dell’intervento: Tecnologie biometriche. Aspetti legali.
Per maggiori informazioni:
per la richiesta di maggiori informazioni, potrete scrivere o telefonare ai seguenti recapiti:
E-mail: info@datasecurity.it
Telefono 0434 1851428