Rassegna Stampa BLS 25

I servizi di BLS
Responsabilità amministrativa degli enti
- attività formativa
- audit 231
- ausilio Odv
- implementazione e aggiornamento del modello 231
- la redazione del modello 231 e dei documenti satelliti
- reati ambientali
- reati informatici &audit informatici
- sicurezza sul lavoro
Anticorruzione
- attività formativa
- audit 190
- implementazione procedure
- trasparenza
- supporto al RPC
i
sionist
s
e
f
o
r
P
lizzati
specia
per
ettore
ogni s
Privacy
- audit
- mappatura e censimento
- policy e misure organizzative
- formazione
Cyber security
- conformità a PCI DSS
- gap analisys & IT audit
- high level security consulting
- it risk management
- la mitigazione del rischio
- penetration test
- security audit
- security evaluation
- vulnerability assessment
Massi
ma
e trasp integrità
are
verso
i nostr nza
ic
Interv
enti ca lienti.
a seco librati
delle n nda
ecessit
à
Whistleblowing
- la segnalazione
- la valutazione
Servizi integrati
- brand reputation
- rating di legalità
...per aiutarvi a creare le fondamenta della serenità...
Capacità
di individuare
criticità
e proporre
soluzioni
Raggiungimento
degli obiettivi
prefissati
Formazione
teorica
e pratica
Rispetto
dei doveri
di
riservatezza
Trasparenza
commerciale
e operativa
Rassegna Stampa
Cyber Security
Metro.it: Hacker e smartphone, ecco come evitare le trappole ..........................................................................
2
Privacy
COR.COM: Una "squadra" di consulenti per le imprese innovative.................................................................
Il Sole 24 Ore.com - Diritto24: Focus Cloud Computing Definizione e caratteristiche della "nuvola" ...........
Impronta Unika: Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili........
La Repubblica.it: Google: pubblicità sempre più su misura, grazie ai nostri dati personali.............................
3
4
5
6
p.1
Metro.it
Hacker e smartphone, ecco come evitare le trappole
Data:
25/10/16
Hacker e smartphone, ecco come evitare le trappole
Hacker e smartphone, ecco come evitare le trappole
24/10/2016 - 16:32
Roma - Connettersi a reti wi-fi pubbliche, aprire link ricevuti via sms, o file allegati contenuti in una email,
navigare su siti infetti. Sono alcune delle trappole per possono portare al furto di dati personali dal proprio
smartphone: foto, video, contatti, numeri di carte di credito. Per sensibilizzare sul tema della
cyber-security è stata lanciata la Mobile Malware Campaign, nell'ambito delle iniziative
dell'European cyber security month. "Il vostro dispositivo mobile è lo strumento per accedere ai
vostri dati privati e al vostro denaro", è l'avvertenza inserita nel video che mette in guardia sui principali
rischi per chi usa uno smartphone, "imparate come mantenere il vostro dispositivo sicuro". Ecco come gli
hacker rubano dati smartphone // Password e software, ecco come proteggere email e cloud Il progetto,
patrocinato dall'Europol e guidato nel nostro Paese dalla Polizia postale e delle comunicazioni, vede l'adesione
di 21 Stati membri dell'Ue (Austria, Belgio, Croazia, Repubblica Ceca, Ungheria, Irlanda, Italia, Francia,
Germania, Grecia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Romania,
Slovenia, Spagna e Regno Unito), 3 al di fuori dell'Unione (Colombia, Norvegia e Ucraina), società di servizi
finanziari, di sicurezza in Internet e altri partner. WikiLeaks e Deep Web, ecco come file top secret finiscono
in rete In Italia, la Polizia delle comunicazioni ha esteso l'offerta di partenariato alla principali aziende
operanti nel settore della telefonia e della sicurezza informatica (Fastweb, Gcsec, Kaspersky Lab,
Poste Italiane, Norton By Symantec, Vodafone, Wind). La Polizia postale e i partner coinvolti 'viralizzeranno'
tutto il materiale informativo sui propri siti e canali di comunicazione, accessibili sia ai propri dipendenti
all'interno delle rispettive organizzazioni, sia a tutti gli utenti, per consentire tanto alle imprese quanto ai
semplici cittadini di evitare di diventare potenziali vittime e proteggere se stessi semplicemente seguendo i
suggerimenti forniti nell'occasione. "Come protagonisti istituzionali nella sicurezza informatica,
siamo convinti che contribuire a rendere il web più sicuro sia un nostro obiettivo primario, per favorire uno
sviluppo sostenibile della rete e dei suoi servizi a beneficio di tutti gli utenti - ha spiegato Roberto Di Legami,
direttore del Servizio Polizia postale e delle comunicazioni -. Questo non può che realizzarsi attraverso la
diffusione di una cultura globale della sicurezza in rete, in collaborazione con le aziende, come quelle presenti
al nostro fianco, e con tutti coloro che si occupano di sicurezza informatica. Crediamo infatti che la
lotta contro la criminalità informatica sia una responsabilità di tutti, che deve essere congiuntamente
affrontata sia dal settore pubblico che privato". (AGI)
Argomento:Cyber Security
p.2
COR.COM
Una "squadra" di consulenti per le imprese innovative
Data:
25/10/16
Una "squadra" di consulenti per le imprese innovative
HOME » Ict&Law » Una "squadra" di consulenti per le imprese innovative
Una "squadra" di consulenti per le imprese innovative
START UP ALLY
Un’alleanza tra cinque realtà di consulenza societaria, legale ed economica rivolta ai neo imprenditori: Milano
Notai, Novareckon, Studio SCG Sas, Previti Associazione Professionale e Trevisan & Cuonzo insieme per
affiancare le nuove realtà
L’obiettivo di questa aggregazione, si legge nel comunicato di presentazione di Start up ally - è di offrire, in
modo veloce ed economicamente competitivo, un servizio di consulenza a 360 gradi per l’avvio di una nuova
iniziativa imprenditoriale. Un’idea moderna di servizio a rete, grazie all’integrazione tra i consulenti
impegnati nel progetto, che consente all’utente di avere un unico interlocutore con una grande riduzione in
termini di tempo da dedicare a pratiche complicate.
StartUp Ally fornisce assistenza in tutti i settori, dal contabile al societario, dal finanziario alla protezione della
proprietà intellettuale, dal monitoraggio dei fondi pubblici al fundraising. La startup potrà avvalersi dei
servizi professionali integrati nella innovativa StartUp Box small, medium e large oppure à la carte,
scegliendo, in questo caso, tra i diversi servizi offerti secondo le esigenze di ciascuno.
Ad esempio, la StartUp Box Medium contiene tutto quello che serve per costituire la società, gestire la
contabilità, registrare il marchio, predisporre i documenti legali, quali le condizioni generali di sito web,
l’informativa privacy e cookies, i patti di non-concorrenza, i patti parasociali, gli accordi di
riservatezza e per accedere ai finanziamenti pubblici.
©RIPRODUZIONE RISERVATA 24 Ottobre 2016
Argomento:Privacy
p.3
Il Sole 24 Ore.com - Diritto24
Focus Cloud Computing Definizione e caratteristiche della "nuvola"
Data:
25/10/16
Focus Cloud Computing Definizione e caratteristiche della "nuvola"
OSSERVATORIO PRIVACY Focus Cloud Computing – Definizione e caratteristiche della "nuvola"
Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli AssistenzaLegalePremium.it
Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli
AssistenzaLegalePremium.it
Prima di focalizzarci sulle ricadute che la portata innovativa del Regolamento UE 2016/679 ha avuto
sull'ambiente cloud, occorre spiegare ed illustrare le principali caratteristiche della "nuvola".
Servizi quali mail on-line, storage di file in internet, accessi a foto e video da qualunque luogo e attraverso
qualsiasi dispositivo sono ormai parte della quotidianità di ciascuno di noi.
"Il Cloud Computing è un modello per autorizzare tramite network un accesso diffuso, economicamente
conveniente e on-demand a un insieme di risorse computazionali condivise e configurabili (ad es. networks,
servers, storage, servizi applicazioni) che può essere rapidamente rilasciato e fornito con il minimo sforzo di
gestione e col minimo intervento del service provider" (NIST – Special Publication 800-145).
La nuvola è dunque un modello che consente da un lato un'autorizzazione onnipresente e quindi la possibilità
di autenticarsi da qualsiasi luogo purché si disponga di una connessione internet; dall'altro un accesso
conveniente e on-demand a risorse (hardware o software) che diventano in tal modo sempre più un servizio
offerto, smettendo i panni di prodotto.
Le caratteristiche principali della nuvola sono:
- l'essere on-demand e self service: l'utente finale può procurarsi in autonomia e con una semplice richiesta
(fatta con un banale click del mouse) tutte le ulteriori risorse di cui ha bisogno, senza l'intervento puntuale di
un professionista o di uno specifico fornitore di servizi;
- l'avere un accesso molto ampio e generalizzato: servizi sempre disponibili da qualunque device o piattaforma
vi si acceda;
- l'avere un raggruppamento di risorse ben definito: l'insieme di risorse è messo a disposizione di tutti gli
utenti in base ad un'impostazione multi-tenant in cui ciascuno attinge in base ai propri bisogni;
- l'avere molta elasticità: le risorse possono essere richieste, rilasciate e dismesse e riacquisite in maniera spesso
automatica e in maniera quasi istantanea, tanto che l'utente ha l'impressione di godere e disporre di un'infinita
quantità di risorse a suo piacimento;
- l'avere un servizio a misura: il sistema cloud controlla e ottimizza automaticamente l'uso delle risorse,
assegnando il ad ogni utente/cliente finale solo le risorse richieste, assegnando a ciascuno il livello di astrazione
appropriato;
- l'essere off-premise: la nuvola è "fuori sede", il servizio di cui si usufruisce è in outsourcing.
Va poi analizzato l'ambiente cloud anche in base ai modelli di servizio, ovvero in base a ciò che effettivamente
viene fornito agli utenti dai cloud providers.
Si distinguono astrattamente tre macrocategorie:
1.Infrastructure as a Service (IaaS): viene messa a disposizione un'infrastruttura (spesso virtuale). Si ha in
pratica un'esternalizzazione dell'hardware.
2.Platform as a Service (PaaS): l'utente usufruisce di piattaforme su cui può dislocare proprie applicazioni
adattando dinamicamente le specifiche dell'infrastruttura al proprio carico di lavoro.
3.Software as a Service (SaaS): l'utente dispone di tutte le applicazioni e i programmi che il provider mette a
disposizione on line. Caratteristiche chiavi di tale modello sono appunto l'economicità (pay-per-use),
l'accessibilità diffusa nonché la scalabilità.
In questo complesso panorama vedremo quali saranno di volta in volta i soggetti principali e quali le figure
che, in base al nuovo Regolamento UE 2016/679, dovranno essere considerate come titolari o responsabili del
trattamento dei dati nella nuvola.
DELLO STESSO AUTORE
Violazione della Privacy: mezzi di ricorso, responsabilità e sanzioni
P.I. 00777910159 - © Copyright Il Sole 24 Ore - Tutti i diritti riservati
Argomento:Privacy
p.4
Impronta Unika
Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili
Data:
25/10/16
Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili
Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili
Le applicazioni Android e iOS hanno accesso a molti dati dell'utente e dello smartphone e gran parte di queste
vengono perse creando una falla di sicurezza che può essere sfruttata per ottenere informazioni o accedere e
prendere il controllo di uno smartphone. Nulla sembra arrestare questa continua perdita, le aziende che
sviluppano le app non sembrano preoccuparsene.
Il numero crescente di dispositivi mobili e il vasto mercato di applicazioni fai da te, ha aperto la porta alla
perdita di dati e violazioni della sicurezza. A dare l'allarme su privacy mobile e perdita di dati è la
società Zscaler, una società di sicurezza su cloud. Secondo i dati raccolti dalla società californiana la perdita di
dati dovuti alle applicazioni, delle due principali piattaforme mobile, è enorme.
Si tratta di un rubinetto che ha perdite costanti e crescenti, ma cosa viene perso di preciso. I dati a cui si
riferisce la società sono quelli che gestisce direttamente e ogni trimestre gestiscono più di 45 milioni di
transazioni relative ai dispositivi mobili che attraversano il loro cloud. La maggior parte delle informazioni
relative alla privacy rientra in una delle tre categorie: metadati del dispositivo, luogo, dati personali
(PII).
Dispositivi Android
I dispositivi Android comprendono circa 20 milioni delle operazioni, in cui lo 0,3 per cento si traducono in una
perdita di privacy. Di tutte le perdite, il 58 per cento sono legate alla perdita di metadati del
dispositivo, in cui le applicazioni inviano informazioni di identificazione, come ad esempio IMEI, MAC,
numero IMSI, di rete, sistema operativo, dati della carta SIM, produttore. Tali dati possono essere sfruttati
per il monitoraggio del dispositivo e la creazione di attacchi mirati.
Un'altra elevata percentuale di perdite - il 39,3 per cento - sono legate alla posizione dell'utente, tra cui le
esatte coordinate di latitudine e longitudine. Il restante tre per cento delle transazioni comporta perdite di dati
personali come il numero di telefono e indirizzo e-mail mobile.
Dispositivi iOS
Per iOS, sono circa 26 milioni le transazioni trimestrali tramite il cloud di Zscaler, di queste lo 0,5 per cento
sono le perdite relative alla privacy. Di queste il 72,3 per cento delle sono legate a informazioni sul
dispositivo dell'utente. Un ulteriore 27,5 per cento delle transazioni hanno come conseguenza la perdita della
posizione dell'utente e lo 0,2 per cento delle transazioni comporta l'invio di informazioni PII. Di tutte le
operazioni nelle quali vengono inviate informazioni relative alla privacy, il cinque per cento sono il
risultato di infezioni dannose.
Le potenziali minacce
Queste statistiche dimostrano che una quantità significativa di dati personali possono trapelare molto, troppo
facilmente. Sono sul cloud di Zscaler sono quasi 200.000 tali perdite, dati utili ai male intenzionati che possono
sfruttarli per attacchi sofisticati mirati. Gli identificatori hardware come MAC, IMEI, IMSI, e UDID sono
unici e non cambiano nel corso della vita di un dispositivo, la raccolta di tali ID consente sia il monitoraggio
che il controllo del dispositivo.
Questi identificatori possono essere sfruttati per tutta una serie di attacchi, come denial-of-service in cui
vengono fatte esaurire le risorse del sistema attaccato, un attacco GSM air interface dove l'attaccante deve
prima conoscere l'IMEI della vittima designata, un SMS denial-of-service o controllo remoto della SIM, sono
solo alcuni esempi.
Conoscere la posizione esatta di ogni persona è di grande valore per spionaggio e spoofing; tali informazioni
possono portare a una compromissione di massa e/o attacchi mirati. I numeri di telefono e indirizzi e-mail sono
il modo più rapido per raggiungere ogni individuo e possono essere sfruttato per spamming e phishing.
Non si può contare sulla protezione degli sviluppatori. Uno studio condotto da IBM & The Ponemon Institute
mostra che, di 400 organizzazioni studiate, quasi il 40 per cento non eseguire la scansione delle applicazioni che
sviluppano circa la vulnerabilità di sicurezza. Di quelli che fanno la scansione delle loro applicazioni prima di
rilasciarle sul mercato, solo il 15 per cento le testa frequentemente. E, ancora più preoccupante, il 50 per cento
di coloro che sviluppano applicazioni mobili non alloca alcun bilancio per le prova relative alle vulnerabilità di
sicurezza.
Argomento:Privacy
p.5
La Repubblica.it
Google: pubblicità sempre più su misura, grazie ai nostri dati personali
Data:
25/10/16
Google: pubblicità sempre più su misura, grazie ai nostri dati personali
Google: pubblicità sempre più su misura, grazie ai nostri dati personali foto: Google Ads
Le impostazioni sulla privacy introdotte a giugno permettono a Big G di combinare le informazioni
relative alla nostra identità alle attività che svolgiamo su altri siti e app. Ma è possibile disabilitare l’opzione
di ROSITA RIJTANO
24 ottobre 2016
ROMA - Un cambiamento delle impostazioni sulla privacy passato quasi in sordina. Eppure dalle
sonore implicazioni. Da qualche tempo Google ha letteralmente tracciato una linea rossa sulla vecchia policy
che proteggeva la riservatezza dei propri utenti dagli inserzionisti, sostituendola con una nuova che permette
di combinare i nostri dati personali alle attività che svolgiamo su altri siti e applicazioni "in modo da
migliorare i servizi di Google e le sponsorizzazioni offerte da Big G".
In pratica, si tratta della fusione tra due database. Quello relativo alle informazioni che riconducono
direttamente alla nostra identità, di cui Google è in possesso grazie a Gmail e altri servizi di Mountain View. E
l'altro riguardante i dati di navigazione collezionati da DoubleClick: impresa di pubblicità online acquisita
dall'azienda nell'aprile del 2007, per 3.1 miliardi di dollari. I suoi sistemi di tracciamento, presenti nel 50 per
cento dei maggiori siti web secondo una ricerca condotta dall'Università di Princeton, permettono all'azienda
di pedinarci nelle nostre peregrinazioni digitali. E così di bersagliarci con campagne pubblicitarie su misura:
per esempio, chi visita siti di sport, avrà più chance di vedere la pubblicità di biglietti per una partita al posto
della réclame di un parrucchiere.
Per quasi dieci anni Google ha mantenuto le due banche dati separate, ciò significa che - almeno in teoria - non
conosceva l'identità di chi tracciava, ma lo identificava solo come quell'anonimo determinato
"utente/consumatore". Invece, grazie alla policy introdotta il 28 giugno 2016, la cronologia della nostra
navigazione può essere ora collegata ai nostri dati personali. Un'associazione cui ci sottoponiamo in
automatico, stando a quanto abbiamo verificato su tre diversi account Google, dal momento in cui abbiamo
accettato in blocco le nuove impostazioni sulla riservatezza che la compagnia ci ha notificato la scorsa estate. E
che si accorda a una tendenza già in atto, unificare tutte le informazioni disponibili su di noi per creare dei
profili unici dei consumatori e non perderli mai di vista, tanto online quanto offline.
LEGGI Facebook, pubblicità sempre più su misura
I primi a notare i risvolti della novità sono stati i reporter di ProPublica, redazione giornalistica no-profit,
vincitrice di diversi premi Pulitzer. "Il risultato pratico di questo cambiamento è che gli ads di DoubleClick
che seguono le persone sul web saranno personalizzati in base alle parole chiave che usano nella loro Gmail",
annota Julia Angwin. "Ciò significa anche che Big G adesso può, se ne ha voglia, costruire il profilo nominale
completo di un utente, basandosi su tutto quello che scrive nelle email, tutti i siti web che ha visitato e le
ricerche online che ha fatto".
LEGGI Facebook ci traccerà anche fuori dal social
"Abbiamo fornito notifiche ben visibili agli utenti su questo cambiamento, con un linguaggio semplice e uno
strumento altrettanto semplice - My Account - che lascia agli utenti il controllo dei dati o la possibilità di
cancellarli", ci hanno fatto sapere da Google quando abbiamo chiesto un chiarimento in merito alla vicenda.
Perché è vero, dopo lo scandalo datagate la società di Mountain View è diventata più trasparente rispetto
all'utilizzo che fa dei nostri dati e un modo per proteggersi c'è: è quello di andare nella pagina dedicata alla
Gestione attività e deselezionare l'opzione "Includi la cronologia di navigazione di Chrome e le attività su siti e
app che utilizzano servizi Google". Ma bisogna fare sempre più attenzione.
Argomento:Privacy
p.6
BLS Compliance SRL
via Alberico Albricci n°8
20122 Milano
[email protected]
www.bls.srl