Rassegna Stampa BLS 25
Transcript
Rassegna Stampa BLS 25
I servizi di BLS Responsabilità amministrativa degli enti - attività formativa - audit 231 - ausilio Odv - implementazione e aggiornamento del modello 231 - la redazione del modello 231 e dei documenti satelliti - reati ambientali - reati informatici &audit informatici - sicurezza sul lavoro Anticorruzione - attività formativa - audit 190 - implementazione procedure - trasparenza - supporto al RPC i sionist s e f o r P lizzati specia per ettore ogni s Privacy - audit - mappatura e censimento - policy e misure organizzative - formazione Cyber security - conformità a PCI DSS - gap analisys & IT audit - high level security consulting - it risk management - la mitigazione del rischio - penetration test - security audit - security evaluation - vulnerability assessment Massi ma e trasp integrità are verso i nostr nza ic Interv enti ca lienti. a seco librati delle n nda ecessit à Whistleblowing - la segnalazione - la valutazione Servizi integrati - brand reputation - rating di legalità ...per aiutarvi a creare le fondamenta della serenità... Capacità di individuare criticità e proporre soluzioni Raggiungimento degli obiettivi prefissati Formazione teorica e pratica Rispetto dei doveri di riservatezza Trasparenza commerciale e operativa Rassegna Stampa Cyber Security Metro.it: Hacker e smartphone, ecco come evitare le trappole .......................................................................... 2 Privacy COR.COM: Una "squadra" di consulenti per le imprese innovative................................................................. Il Sole 24 Ore.com - Diritto24: Focus Cloud Computing Definizione e caratteristiche della "nuvola" ........... Impronta Unika: Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili........ La Repubblica.it: Google: pubblicità sempre più su misura, grazie ai nostri dati personali............................. 3 4 5 6 p.1 Metro.it Hacker e smartphone, ecco come evitare le trappole Data: 25/10/16 Hacker e smartphone, ecco come evitare le trappole Hacker e smartphone, ecco come evitare le trappole 24/10/2016 - 16:32 Roma - Connettersi a reti wi-fi pubbliche, aprire link ricevuti via sms, o file allegati contenuti in una email, navigare su siti infetti. Sono alcune delle trappole per possono portare al furto di dati personali dal proprio smartphone: foto, video, contatti, numeri di carte di credito. Per sensibilizzare sul tema della cyber-security è stata lanciata la Mobile Malware Campaign, nell'ambito delle iniziative dell'European cyber security month. "Il vostro dispositivo mobile è lo strumento per accedere ai vostri dati privati e al vostro denaro", è l'avvertenza inserita nel video che mette in guardia sui principali rischi per chi usa uno smartphone, "imparate come mantenere il vostro dispositivo sicuro". Ecco come gli hacker rubano dati smartphone // Password e software, ecco come proteggere email e cloud Il progetto, patrocinato dall'Europol e guidato nel nostro Paese dalla Polizia postale e delle comunicazioni, vede l'adesione di 21 Stati membri dell'Ue (Austria, Belgio, Croazia, Repubblica Ceca, Ungheria, Irlanda, Italia, Francia, Germania, Grecia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Romania, Slovenia, Spagna e Regno Unito), 3 al di fuori dell'Unione (Colombia, Norvegia e Ucraina), società di servizi finanziari, di sicurezza in Internet e altri partner. WikiLeaks e Deep Web, ecco come file top secret finiscono in rete In Italia, la Polizia delle comunicazioni ha esteso l'offerta di partenariato alla principali aziende operanti nel settore della telefonia e della sicurezza informatica (Fastweb, Gcsec, Kaspersky Lab, Poste Italiane, Norton By Symantec, Vodafone, Wind). La Polizia postale e i partner coinvolti 'viralizzeranno' tutto il materiale informativo sui propri siti e canali di comunicazione, accessibili sia ai propri dipendenti all'interno delle rispettive organizzazioni, sia a tutti gli utenti, per consentire tanto alle imprese quanto ai semplici cittadini di evitare di diventare potenziali vittime e proteggere se stessi semplicemente seguendo i suggerimenti forniti nell'occasione. "Come protagonisti istituzionali nella sicurezza informatica, siamo convinti che contribuire a rendere il web più sicuro sia un nostro obiettivo primario, per favorire uno sviluppo sostenibile della rete e dei suoi servizi a beneficio di tutti gli utenti - ha spiegato Roberto Di Legami, direttore del Servizio Polizia postale e delle comunicazioni -. Questo non può che realizzarsi attraverso la diffusione di una cultura globale della sicurezza in rete, in collaborazione con le aziende, come quelle presenti al nostro fianco, e con tutti coloro che si occupano di sicurezza informatica. Crediamo infatti che la lotta contro la criminalità informatica sia una responsabilità di tutti, che deve essere congiuntamente affrontata sia dal settore pubblico che privato". (AGI) Argomento:Cyber Security p.2 COR.COM Una "squadra" di consulenti per le imprese innovative Data: 25/10/16 Una "squadra" di consulenti per le imprese innovative HOME » Ict&Law » Una "squadra" di consulenti per le imprese innovative Una "squadra" di consulenti per le imprese innovative START UP ALLY Un’alleanza tra cinque realtà di consulenza societaria, legale ed economica rivolta ai neo imprenditori: Milano Notai, Novareckon, Studio SCG Sas, Previti Associazione Professionale e Trevisan & Cuonzo insieme per affiancare le nuove realtà L’obiettivo di questa aggregazione, si legge nel comunicato di presentazione di Start up ally - è di offrire, in modo veloce ed economicamente competitivo, un servizio di consulenza a 360 gradi per l’avvio di una nuova iniziativa imprenditoriale. Un’idea moderna di servizio a rete, grazie all’integrazione tra i consulenti impegnati nel progetto, che consente all’utente di avere un unico interlocutore con una grande riduzione in termini di tempo da dedicare a pratiche complicate. StartUp Ally fornisce assistenza in tutti i settori, dal contabile al societario, dal finanziario alla protezione della proprietà intellettuale, dal monitoraggio dei fondi pubblici al fundraising. La startup potrà avvalersi dei servizi professionali integrati nella innovativa StartUp Box small, medium e large oppure à la carte, scegliendo, in questo caso, tra i diversi servizi offerti secondo le esigenze di ciascuno. Ad esempio, la StartUp Box Medium contiene tutto quello che serve per costituire la società, gestire la contabilità, registrare il marchio, predisporre i documenti legali, quali le condizioni generali di sito web, l’informativa privacy e cookies, i patti di non-concorrenza, i patti parasociali, gli accordi di riservatezza e per accedere ai finanziamenti pubblici. ©RIPRODUZIONE RISERVATA 24 Ottobre 2016 Argomento:Privacy p.3 Il Sole 24 Ore.com - Diritto24 Focus Cloud Computing Definizione e caratteristiche della "nuvola" Data: 25/10/16 Focus Cloud Computing Definizione e caratteristiche della "nuvola" OSSERVATORIO PRIVACY Focus Cloud Computing – Definizione e caratteristiche della "nuvola" Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli AssistenzaLegalePremium.it Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli AssistenzaLegalePremium.it Prima di focalizzarci sulle ricadute che la portata innovativa del Regolamento UE 2016/679 ha avuto sull'ambiente cloud, occorre spiegare ed illustrare le principali caratteristiche della "nuvola". Servizi quali mail on-line, storage di file in internet, accessi a foto e video da qualunque luogo e attraverso qualsiasi dispositivo sono ormai parte della quotidianità di ciascuno di noi. "Il Cloud Computing è un modello per autorizzare tramite network un accesso diffuso, economicamente conveniente e on-demand a un insieme di risorse computazionali condivise e configurabili (ad es. networks, servers, storage, servizi applicazioni) che può essere rapidamente rilasciato e fornito con il minimo sforzo di gestione e col minimo intervento del service provider" (NIST – Special Publication 800-145). La nuvola è dunque un modello che consente da un lato un'autorizzazione onnipresente e quindi la possibilità di autenticarsi da qualsiasi luogo purché si disponga di una connessione internet; dall'altro un accesso conveniente e on-demand a risorse (hardware o software) che diventano in tal modo sempre più un servizio offerto, smettendo i panni di prodotto. Le caratteristiche principali della nuvola sono: - l'essere on-demand e self service: l'utente finale può procurarsi in autonomia e con una semplice richiesta (fatta con un banale click del mouse) tutte le ulteriori risorse di cui ha bisogno, senza l'intervento puntuale di un professionista o di uno specifico fornitore di servizi; - l'avere un accesso molto ampio e generalizzato: servizi sempre disponibili da qualunque device o piattaforma vi si acceda; - l'avere un raggruppamento di risorse ben definito: l'insieme di risorse è messo a disposizione di tutti gli utenti in base ad un'impostazione multi-tenant in cui ciascuno attinge in base ai propri bisogni; - l'avere molta elasticità: le risorse possono essere richieste, rilasciate e dismesse e riacquisite in maniera spesso automatica e in maniera quasi istantanea, tanto che l'utente ha l'impressione di godere e disporre di un'infinita quantità di risorse a suo piacimento; - l'avere un servizio a misura: il sistema cloud controlla e ottimizza automaticamente l'uso delle risorse, assegnando il ad ogni utente/cliente finale solo le risorse richieste, assegnando a ciascuno il livello di astrazione appropriato; - l'essere off-premise: la nuvola è "fuori sede", il servizio di cui si usufruisce è in outsourcing. Va poi analizzato l'ambiente cloud anche in base ai modelli di servizio, ovvero in base a ciò che effettivamente viene fornito agli utenti dai cloud providers. Si distinguono astrattamente tre macrocategorie: 1.Infrastructure as a Service (IaaS): viene messa a disposizione un'infrastruttura (spesso virtuale). Si ha in pratica un'esternalizzazione dell'hardware. 2.Platform as a Service (PaaS): l'utente usufruisce di piattaforme su cui può dislocare proprie applicazioni adattando dinamicamente le specifiche dell'infrastruttura al proprio carico di lavoro. 3.Software as a Service (SaaS): l'utente dispone di tutte le applicazioni e i programmi che il provider mette a disposizione on line. Caratteristiche chiavi di tale modello sono appunto l'economicità (pay-per-use), l'accessibilità diffusa nonché la scalabilità. In questo complesso panorama vedremo quali saranno di volta in volta i soggetti principali e quali le figure che, in base al nuovo Regolamento UE 2016/679, dovranno essere considerate come titolari o responsabili del trattamento dei dati nella nuvola. DELLO STESSO AUTORE Violazione della Privacy: mezzi di ricorso, responsabilità e sanzioni P.I. 00777910159 - © Copyright Il Sole 24 Ore - Tutti i diritti riservati Argomento:Privacy p.4 Impronta Unika Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili Data: 25/10/16 Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili Le applicazioni Android e iOS hanno accesso a molti dati dell'utente e dello smartphone e gran parte di queste vengono perse creando una falla di sicurezza che può essere sfruttata per ottenere informazioni o accedere e prendere il controllo di uno smartphone. Nulla sembra arrestare questa continua perdita, le aziende che sviluppano le app non sembrano preoccuparsene. Il numero crescente di dispositivi mobili e il vasto mercato di applicazioni fai da te, ha aperto la porta alla perdita di dati e violazioni della sicurezza. A dare l'allarme su privacy mobile e perdita di dati è la società Zscaler, una società di sicurezza su cloud. Secondo i dati raccolti dalla società californiana la perdita di dati dovuti alle applicazioni, delle due principali piattaforme mobile, è enorme. Si tratta di un rubinetto che ha perdite costanti e crescenti, ma cosa viene perso di preciso. I dati a cui si riferisce la società sono quelli che gestisce direttamente e ogni trimestre gestiscono più di 45 milioni di transazioni relative ai dispositivi mobili che attraversano il loro cloud. La maggior parte delle informazioni relative alla privacy rientra in una delle tre categorie: metadati del dispositivo, luogo, dati personali (PII). Dispositivi Android I dispositivi Android comprendono circa 20 milioni delle operazioni, in cui lo 0,3 per cento si traducono in una perdita di privacy. Di tutte le perdite, il 58 per cento sono legate alla perdita di metadati del dispositivo, in cui le applicazioni inviano informazioni di identificazione, come ad esempio IMEI, MAC, numero IMSI, di rete, sistema operativo, dati della carta SIM, produttore. Tali dati possono essere sfruttati per il monitoraggio del dispositivo e la creazione di attacchi mirati. Un'altra elevata percentuale di perdite - il 39,3 per cento - sono legate alla posizione dell'utente, tra cui le esatte coordinate di latitudine e longitudine. Il restante tre per cento delle transazioni comporta perdite di dati personali come il numero di telefono e indirizzo e-mail mobile. Dispositivi iOS Per iOS, sono circa 26 milioni le transazioni trimestrali tramite il cloud di Zscaler, di queste lo 0,5 per cento sono le perdite relative alla privacy. Di queste il 72,3 per cento delle sono legate a informazioni sul dispositivo dell'utente. Un ulteriore 27,5 per cento delle transazioni hanno come conseguenza la perdita della posizione dell'utente e lo 0,2 per cento delle transazioni comporta l'invio di informazioni PII. Di tutte le operazioni nelle quali vengono inviate informazioni relative alla privacy, il cinque per cento sono il risultato di infezioni dannose. Le potenziali minacce Queste statistiche dimostrano che una quantità significativa di dati personali possono trapelare molto, troppo facilmente. Sono sul cloud di Zscaler sono quasi 200.000 tali perdite, dati utili ai male intenzionati che possono sfruttarli per attacchi sofisticati mirati. Gli identificatori hardware come MAC, IMEI, IMSI, e UDID sono unici e non cambiano nel corso della vita di un dispositivo, la raccolta di tali ID consente sia il monitoraggio che il controllo del dispositivo. Questi identificatori possono essere sfruttati per tutta una serie di attacchi, come denial-of-service in cui vengono fatte esaurire le risorse del sistema attaccato, un attacco GSM air interface dove l'attaccante deve prima conoscere l'IMEI della vittima designata, un SMS denial-of-service o controllo remoto della SIM, sono solo alcuni esempi. Conoscere la posizione esatta di ogni persona è di grande valore per spionaggio e spoofing; tali informazioni possono portare a una compromissione di massa e/o attacchi mirati. I numeri di telefono e indirizzi e-mail sono il modo più rapido per raggiungere ogni individuo e possono essere sfruttato per spamming e phishing. Non si può contare sulla protezione degli sviluppatori. Uno studio condotto da IBM & The Ponemon Institute mostra che, di 400 organizzazioni studiate, quasi il 40 per cento non eseguire la scansione delle applicazioni che sviluppano circa la vulnerabilità di sicurezza. Di quelli che fanno la scansione delle loro applicazioni prima di rilasciarle sul mercato, solo il 15 per cento le testa frequentemente. E, ancora più preoccupante, il 50 per cento di coloro che sviluppano applicazioni mobili non alloca alcun bilancio per le prova relative alle vulnerabilità di sicurezza. Argomento:Privacy p.5 La Repubblica.it Google: pubblicità sempre più su misura, grazie ai nostri dati personali Data: 25/10/16 Google: pubblicità sempre più su misura, grazie ai nostri dati personali Google: pubblicità sempre più su misura, grazie ai nostri dati personali foto: Google Ads Le impostazioni sulla privacy introdotte a giugno permettono a Big G di combinare le informazioni relative alla nostra identità alle attività che svolgiamo su altri siti e app. Ma è possibile disabilitare l’opzione di ROSITA RIJTANO 24 ottobre 2016 ROMA - Un cambiamento delle impostazioni sulla privacy passato quasi in sordina. Eppure dalle sonore implicazioni. Da qualche tempo Google ha letteralmente tracciato una linea rossa sulla vecchia policy che proteggeva la riservatezza dei propri utenti dagli inserzionisti, sostituendola con una nuova che permette di combinare i nostri dati personali alle attività che svolgiamo su altri siti e applicazioni "in modo da migliorare i servizi di Google e le sponsorizzazioni offerte da Big G". In pratica, si tratta della fusione tra due database. Quello relativo alle informazioni che riconducono direttamente alla nostra identità, di cui Google è in possesso grazie a Gmail e altri servizi di Mountain View. E l'altro riguardante i dati di navigazione collezionati da DoubleClick: impresa di pubblicità online acquisita dall'azienda nell'aprile del 2007, per 3.1 miliardi di dollari. I suoi sistemi di tracciamento, presenti nel 50 per cento dei maggiori siti web secondo una ricerca condotta dall'Università di Princeton, permettono all'azienda di pedinarci nelle nostre peregrinazioni digitali. E così di bersagliarci con campagne pubblicitarie su misura: per esempio, chi visita siti di sport, avrà più chance di vedere la pubblicità di biglietti per una partita al posto della réclame di un parrucchiere. Per quasi dieci anni Google ha mantenuto le due banche dati separate, ciò significa che - almeno in teoria - non conosceva l'identità di chi tracciava, ma lo identificava solo come quell'anonimo determinato "utente/consumatore". Invece, grazie alla policy introdotta il 28 giugno 2016, la cronologia della nostra navigazione può essere ora collegata ai nostri dati personali. Un'associazione cui ci sottoponiamo in automatico, stando a quanto abbiamo verificato su tre diversi account Google, dal momento in cui abbiamo accettato in blocco le nuove impostazioni sulla riservatezza che la compagnia ci ha notificato la scorsa estate. E che si accorda a una tendenza già in atto, unificare tutte le informazioni disponibili su di noi per creare dei profili unici dei consumatori e non perderli mai di vista, tanto online quanto offline. LEGGI Facebook, pubblicità sempre più su misura I primi a notare i risvolti della novità sono stati i reporter di ProPublica, redazione giornalistica no-profit, vincitrice di diversi premi Pulitzer. "Il risultato pratico di questo cambiamento è che gli ads di DoubleClick che seguono le persone sul web saranno personalizzati in base alle parole chiave che usano nella loro Gmail", annota Julia Angwin. "Ciò significa anche che Big G adesso può, se ne ha voglia, costruire il profilo nominale completo di un utente, basandosi su tutto quello che scrive nelle email, tutti i siti web che ha visitato e le ricerche online che ha fatto". LEGGI Facebook ci traccerà anche fuori dal social "Abbiamo fornito notifiche ben visibili agli utenti su questo cambiamento, con un linguaggio semplice e uno strumento altrettanto semplice - My Account - che lascia agli utenti il controllo dei dati o la possibilità di cancellarli", ci hanno fatto sapere da Google quando abbiamo chiesto un chiarimento in merito alla vicenda. Perché è vero, dopo lo scandalo datagate la società di Mountain View è diventata più trasparente rispetto all'utilizzo che fa dei nostri dati e un modo per proteggersi c'è: è quello di andare nella pagina dedicata alla Gestione attività e deselezionare l'opzione "Includi la cronologia di navigazione di Chrome e le attività su siti e app che utilizzano servizi Google". Ma bisogna fare sempre più attenzione. Argomento:Privacy p.6 BLS Compliance SRL via Alberico Albricci n°8 20122 Milano [email protected] www.bls.srl