Guida al GDPR per chi non ne vuol sapere: la vedi la luce in fondo al tunnel? … è il treno!

Vi rendete conto che alla attivazione del GDPR manca meno di un anno vero?

la vedi la luce in fondo al tunnel? … è il treno!

Allora ho provato un paio di giorni fa a spiegarti come leggere ed interpretare il significato di GDPR. Sono assolutamente certo e sicuro che tutto quanto scritto era già chiarissimo ai tuoi occhi, ma tant’è… provare a parlare amabilmente di un argomento tanto ameno non fa mai male.

Dicevo, in chiusura degli sproloqui nell’articolo precedente, che alcune note andavano premesse per meglio capire il testo.

In effetti se partiamo con il piede giusto magari non diventa una lettura amena, ma almeno comprensibile.

Tra le premesse della volta scorsa ne ho omesso volutamente una importantissima, giusto per darmi una scusa per proseguire a scrivere…

Le norme fissate dal GDPR sono il minimo livello di protezione

Le norme fissate dal GDPR sono il minimo livello di protezione richiesta dalla UE, questo significa che ogni stato membro può decidere norme più protettive che si accompagnino al testo.

In Italia l’esempio che balza subito agli occhi riguarda la gestione dei biscotti…er “…cookie” che da sola potrebbe generare una interessante sequenza di noiosissimi articoli ?

La premessa è necessaria non perché abbia qualcosa contro gli Oreo (anche se preferisco i Krumiri o i cantucci toscani) ma perché il primo capitolo di questo affascinante romanzo che ci accingiamo a leggere è le disposizioni generali.

Il documento è diviso in 99 articoli sparsi in 11 capitoli che contengono diverse sezioni. Ovviamente per poter venirne a capo occorre leggerli in maniera “dinamica” perché spesso ci sono referenze avanti e indietro, a destra e a sinistra, sopra sotto e anche in un altro paio di dimensioni a noi invisibili ma chiaramente descritte dalla teoria unificata delle stringhe di cui vi invito a prendere conoscenza (a meno che non indossiate mocassini, sandali e o ciabatte, cosa che vi preclude gran parte della conoscenza umana) …

Per venirne a capo vi giro due link utili:

https://www.suiteprivacy.it/pages/testoregolamentoue.aspx (in italiano)

https://www.privacy-regulation.eu/en/index.htm (in un sacco di lingue tra cui l’italiano, ma ho messo la referenza in inglese perché fa più professionale…vuoi mettere…)

Capitolo Primo

Era una notte buia e tempestosa

 

Il primo capitolo inizia con l’emozionante articolo 1 che ci racconta di cosa si parla nel testo:

Articolo 1

1. This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data.
2. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.
3. The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.

 

Lo so che in inglese è più sexy, ma se proprio vi difetta la lingua eccolo in linguaggio italico:

 

1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Dalla lettura impariamo innanzi tutto che al punto 1 stiamo parlando di persone fisiche in relazione ai dati personali.

La cosa è importante per 2 motivi:

a: le persone giuridiche, le aziende, non sono soggette al GDPR…che tradotto vuol dire che il mio nome e cognome ed il mio indirizzo di casa sono GDPR, il nome della società “Pizza & Fichi INC.” e la sua sede legale non sono oggetto di GDPR

ci può venire incontro alla comprensione il “recital 14” che cita:

(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

b: i fantasmi, i personaggi storici e quelli di fantasia non sono soggetto al GDPR (quindi potete condividere liberamente il numero di telefono di Wonder Woman).

Se vogliamo meglio definire cosa significhi il concetto di protezione citato nel punto ci viene incontro il “recital” 1

(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Al punto 2 troviamo invece l’oggetto di questo esercizio, la protezione delle libertà individuali con il focus sui dati personali.

Il secondo punto è importante perché definisce chiaramente quale ambito va considerato quando consideriamo un rischio all’interno del GDPR.

L’oggetto del regolamento è la protezione dei diritti fondamentali dell’individuo, questo significa che questo è il parametro di rischio da valutare quando si considerano le implementazioni del GDPR …

L’ultimo punto ci ricorda che all’interno della Unione Europea abbiamo conquistato il diritto alla libera circolazione delle persone, delle merci e anche dei dati. Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …

Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …

Come referenza vi suggerisco anche di leggervi i seguenti “recitals”:

1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13

Articolo 2

 

L’articolo due ci porta in un viaggio esotico in lande inesplorate, ove una brezza leggera ci accarezza e le onde del mare….

Er..credo di essermi un attimo lasciato trasportare, morfeo mi ha catturato… torniamo alla cruda realtà.

L’articolo due ci dice dove viene applicato sto benedetto GDPR.

Il punto uno ci dice dove si applica, gli altri punti dove non si applica.

Ovviamente ci interessa il primo punto…

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Si perché questo punto è fondamentale per capire l’ambito di applicazione, al solito iniziamo dalle parole per vedere se ne traiamo un senso …

Trattamento (Processing)

L’espressione generica indica che si ha a che fare con qualsiasi forma di trattamento eo manipolazione dei dati. Raccolta, archiviazione e lettura rientrano in questa descrizione…. Insomma qualsiasi cosa …

interamente automatizzato

Tradotto vuol dire tutti i sistemi che non richiedono intervento umano alcuno. Si pensi alla raccolta di dati via web per, ad esempio, una newsletter o un sito di marketing. I processi anche se non richiedono intervento umano sono soggetti al GDPR

parzialmente automatizzato

Nel caso vi sia intervento umano (ad esempio raccogli moduli scritti e li immetti in un sistema) il GDPR va comunque applicato. La norma prevede anche la parte umana di gestione, qualsiasi sia la forma. Anche il cartaceo è soggetto a GDPR.

non automatizzato

E qui ci casca l’asino …nel senso che se non lo hai ancora capito anche i tuoi documenti cartacei vanno considerati qui, non ci si scappa. Quindi non è che se pensi d fare il furbo e scrivi tutto su un block notes sei al sicuro…

archivio (originale Filing System)

Non facciamoci ingannare dalla terminologia. La traduzione archivio qui deriva da “Filing System” e non File System. Non parliamo di archiviazione digitale, ma di archiviazione tout court. C’hai presente i bei faldoni che lasci accessibili a chiunque…non puoi più farlo.

Insomma il regolamento si occupa della gestione e processo dei dati personali in qualunque loro forma indipendentemente dalla modalità di processo, archiviazione o raccolta.

Vi lascio l’emozionante esercizio di capire dove non si applica, io già ho faticato su questo.

E non dimenticativi i “recitals” per capire di cosa si parla: 14, 15, 16, 17, 18, 19, 20, 21

Ciaooo

 

 

 

 

TECHNOLOGY originally published on DaftBlogger.com

Wanted Dead or Alive: The Human Factor

By Antonio Ieranò on September 29, 2013 at 7:45 PM

Contents [hide]

• 1 From where should we start?
• 2 I said it all but…
• 3 Theory?

OK I confess I am quite bored to listen to all those knowledgeable IT security experts talking about what is needed to secure a system. Everyone has his own point of view; of course they’re right when they say we need end-point security, mobile protection, anti-malware, anti-hacking, dlp, advance threat defense and protection. We all know we need firewalls, IPSIDS, cypher encryption systems, SSO, 802.1x, strong authentication, anti-virus, anti-everything, application and context aware systems but what is the point? Seems to me that beside all the technicality we are losing sight a focal point: security, even within the IT sector, is a matter of human behavior.

I do not dispute that a patched system is harder to hack than a not patched one, but the point is where was the careful planning before? We can, of course, employ dlp, sim, advanced threat defense system firewalls and so on but how can they save us if we do not understand what we need to protect? And, even worse, how we can even think to implement any security measure if we do not know what to protect?

From where should we start?

Probably we should start form the basic trying to consider what we need to protect starting from the very beginning. And at the beginning there is a human being that want to interact with another human being through a process.

Of course we filled our systems with great security garbage all around the process box and also we put in place all those great barriers to make the user harder to use the process’ instruments itself.

And keep adding and adding we realized we need siem to monitor all this crap, and control systems, and dashboards and smart whatever and….

I said it all but…

Wait a moment are we missing something here? Here are some considerations :

1. Who is the guygirl that wants to “communicate” with the other guygirl to do something that both value “valuable” for some unknown reason?
2. How do they want to “communicate”?
3. What do they want to “communicate”
4. Why do they want to “communicate”?
5. Why they need to “communicate” in that specific way?
6. …

Isn’t it funny that those considerations are still the key points for any successful security project? The 3 main subjects of ANY security implementation should be: human sender, human receiver and the process involved. Therefore there is no such thing as a successful security implementation without entering deeper inside those 3 aspects. Of course, this requires a careful interaction between the so-called security expert and all the players involved in the security process: because human and technical aspects are strictly connected.

There could not be security if security is not perceived as a value from the stakeholder of the process; you can put in place all the rules you want, but it will eventually fail. The worst scenario is that people will stop using the process to build a parallel one that is more suitable for their needs. This is the main cause behind security project and implementation failures; it is not a matter of technology but of not carefully evaluating the human factor.
Things like planning and training are not naïve requirements in an implementation but the most valuable asset of the project.

Theory?

Funny enough all the statistics and literature we find on the internet state that the biggest threat of all is always the user, no matter whether skilled or not. Bad guys already know it, and social engineering is not a recent invention when as far as hacking is concerned. It can be done on purpose, or by mistake, or by simply looking for a way to avoid a crazy close policy. Eventually though a user will breach your security.

Alas doors are slammed in our faces when we try to explain that security is only in part a question of how I encrypt a disk or how I make server hardening. At the end of the day, what should a CSO worry about? Basically speaking, that rules and processes are built to be secure, among others, through the use of technology but not because of the technology implemented.

All we do is related to our interactions with others human beings, the rest are “tools” to implement a process. Changing human behavior and technology we change the tools, we discover more needs we create new processes so security needs to adapt, and IT people should drive the change from the process point of view. Or we will continue to have security breaches, PRISM and Snowden cases, Anonymous groups and we will again be forced to live unpleasant surprises due to humans bypassing all those so carefully implemented security systems.

Go on, buy your firewall

Related articles

• Spikes Launches Anti-Malware Browsing System AirGap Enterprise
• Japan Needs 80,000 More IT Security Experts
• Malwarebytes Anti-Malware Mobile Now Available for Android
• OWASP Israel 2013 Presentations
• Security Costs and Security Budgets
• OWASP Romania InfoSec Conference 2013
• Softpedia Exclusive Interview: Digital Defense CTO Gordon McKay on SEA Attacks
• Self-defending networks: We have the technology, but no customers
• Corporate Supporter Bios

 

Looking for a new career opportunity

Dear All,

As you may know I’m looking for a new career opportunity.

Many of you knows me because we have been working together in Europe or USA in one of my previous work experiences, including Cisco, Ironport, Symantec, BrightMail, Mondadori Informatica and so on, or met in conferences and events.

With over 16 years of experience in the leadership of IT product development, project management, marketing, and representation and as a reputable and renowned contributor to the tech industry particularly within the security community, I think I have often provided outstanding results and proved my soft and technical skills, but the situation now force me to ask for support.

 

If you know of any position I could be right for I would really appreciate if you could share it with me, I would prefer an EMEA position (would allowed me to move from home to work without relocate) but anything could fit my skills would be appreciated.

Thank you for your support and wish you all the best

Antonio

 

Dell PowerEdge VRTX

PowerEdge VRTX shared infrastructure platform

check it here: http://www.dell.com/us/business/p/poweredge-vrtx/pd

I usually do not make comment on HW infrastructures or platforms but I have to admit that today, after a chat with my neighbourhood, I fall in love with this one.

When thinking about SMB market and IT we always face a dualism between computational and storage needs and, on the other side, strict budgets and low resources. Low resources also means space, energy, people constrains and so on.

So here we are a small object, that contains all the HW needed for a SMB or a branch, flexible and easy to manage.

Drive Bays

Up to 12 x 3.5in NLSAS, SAS, or SAS SSD hot-plug drives or

Up to 25 x 2.5in NLSAS, SAS, or SAS SSD hot-plug drives

An cheap solution that can easily provide 40 TB of space is quite a good start for a small business or a branch office.

Embedded NIC

1GbE internal switch module (standard) with 16 internal 1GbE ports and 8 external ports

Ethernet pass-through module with 8 external ports (optional)

RAID Controllers

Shared PERC8

Power

Redundant power supply units:

100V-240V auto-sensing redundant power supplies support 2+2 (AC redundancy), and 3+1, 2+1, and 1+1 (power supply redundancy) modes

What you need more 🙂 i would like it in my home

Cooling

VRTX comes standard with 6 hot-pluggable, redundant fan modules and 4 blower modules:

Based on Dell Energy Smart Technologies, VRTX fans and blowers are a breakthrough in power and cooling efficiency The fans and blowers deliver low-power consumption, but also use next-generation fan technologies to ensure the lowest possible amount of fresh air is consumed to cool the enclosure

And, really, it does not make the horrible noise we usually associate to those stuffs, means it can really be a desktop DataCenter 🙂

Chassis Form factors:

Tower or 5U rack enclosure

Tower configuration:

48.4cm (19.1in) H with system feet x 31.0cm (12.2in) W with system feet opened x 73.0cm (28.7in) D

Weight (empty) = 31.7kg (69.7lb)

Weight (maximum) = 74.8kg (164.9lb)

Rack configuration:

21.9cm (8.6in) H x 48.2cm (19.0in) W x 73.0cm (28.7in) D

Weight (empty) = 24.7kg (54.5lb)

Weight (maximum) = 68.7kg (151.5lb)

Server node options

Dell PowerEdge M620 and M520 servers, that can provide enough power for most of smb needs

Rack Support

ReadyRails™ II sliding rails for 4-post racks with square, round, or threaded holes

Price is competitive so I wish this thing a lot of success 🙂

Related articles

• Dell PowerEdge VRTX review (itpro.co.uk)
• Dell takes converged systems to small sites with PowerEdge VRTX (pcworld.com)
• 5 benefits of Dell PowerEdge VRTX converged infrastructure (community.spiceworks.com)
• Why Dell May Have Hit Home Run With New VRTX Server (eweek.com)
• Join us for the Dell PowerEdge VRTX Solutions Broadcast (globalhardware.fr)
• Dell crams baby small-biz data center into a tower chassis (go.theregister.com)
• Dell VRTX + Silver Peak WAN optimization (community.spiceworks.com)
• Dell takes converged systems to remote sites with PowerEdge VRTX (infoworld.com)
• Dell takes converged systems to small sites with PowerEdge VRTX (networkworld.com)
• Video: Dell Launches PowerEdge VRTX Server in Dubai (channel-buzz.com)

(ISC)2 Italy Chapter Site » Mobile Security Series – Beyond BYOD – Slides

(ISC)2 Italy Chapter Site » Mobile Security Series – Beyond BYOD – Slides

Mobile Security Series – Beyond BYOD – Slides

inShare1

Le slide del primo approfondimento (ISC)² Italy Chapter sul Mobile (Beyond BYOD) sono disponibili ai soci a questo link(*): Webinar – (ISC)2 Italy – Mobile Series 1 – Beyond BYOD

Ringraziamo tutti coloro che hanno seguito il seminario e ancor di piu’ chi ha dedicato del tempo per completare il sondaggio sull’iniziativa. Stay tuned: nelle prossime settimane vi informeremo sulle date del secondo e poi del terzo seminario della serie.

(*) Per accedere alle slides e’ necessario essere Soci di (ISC)² Italy Chapter; l’utenza per l’accesso e’ stata inviata contestualmente all’associazione. Per problemi tecnici, e’ possibile inviare una mail a webmaster@isc2chapter-italy.it

Related articles

• (ISC)2, CSA partner on new cloud security certification
• New professional certification for cloud security
• Asia’s schools neglecting cybersecurity certification
• (ISC)2 and the CSA announce certification for cloud security
• ISC2 Webcast: When NOT To BYOD
• Half of Companies To Mandate BYOD by 2017, Gartner Says
• The Year of the Security Standard
• Mobile Computing Security Mayhem Continues

FW SPAM: Inquiry

Is this spam or not? 🙂

—–Original Message—–
From: Ms. Helen Papi [mailto:info@e-securetrust.com]
Sent: Monday 4 March 2013 07:02
To: nomestes.ingando@gmail.com
Cc: puchi.ierano@gmail.com
Subject: Inquiry

Hello Antonio Ieranò

Greetings and sincere apologies if this letter is against your moral ethics. I know you will be surprise to read my email. I got your contact from online business directory which prompted me to contact you in confidence. Apart from being surprise, you may be skeptical to reply back to me because based on what is going on in the internet world which has made it very difficult for people to believe anything that comes through the internet but this is a different case as proof would show as we proceed.

My name is Ms. Helen Papi. I am proposing a very high profiled business transaction to you with returns very lucrative.  I need a partner from your country who I can work with on this investment project and I want to ask for your partnership to re-profile funds valued over $13 million Dollars for investment in your country.

If you feel you can have this handled, please let me know, so that I can send you a comprehensive details on the source of fund for this proposed investment so we can discuss how to move forward.

Sincerely,

Helen Papi

Related articles

• Spam Comments (aitechupdate.wordpress.com)
• FW SPAM: Important Notice!!! (aitechupdate.wordpress.com)
• FW SPAM: hello, i see your profile at (linkedin.com) (aitechupdate.wordpress.com)
• FW SPAM: Dear Esteem Colleague, (aitechupdate.wordpress.com)
• Why do I get so much spam? (pcworld.com)
• FW SPAM: How Are You! (aitechupdate.wordpress.com)
• Good Question: Does Clicking Unsubscribe On Junk Emails Work? (minnesota.cbslocal.com)

EVENTO SUL CLOUD: IL CLOUD COMPUTING AL SERVIZIO DELLE PICCOLE E MEDIE IMPRESE

IL CLOUD COMPUTING AL SERVIZIO DELLE PICCOLE E MEDIE IMPRESE

Type: Event Owner: Easycloud.it Event Date: 2/20/2013 Start Time: 02:00 PM End Time: 05:00 PM Time Zone: (UTC) Casablanca Location: ComoNExt – Parco Scientifico Tecnologico Tags: pmi, cloud computing Details: Agenda inizio ore 16:00 – Introduzione al Cloud Computing – Cloudeconomy e il ruolo del Cloud Service Broker – Il Cloud Computing per le PMI: applicazioni a supporto del business – Case study e strumenti per calcolare il ROI ore 18.30 Aperitivo offerto da Easycloud

EasyCloud.it cloud service broker – easyCloud
www.easycloud.it
Easycloud.it è un Cloud Service Broker a supporto delle aziende che intendono evolversi mediante l’utilizzo del Cloud Computing.
Numero massimo partecipanti: 20
per maggiori informazioni ed iscrizioni contattare l’organizzazione:
email academy@easycloud.it
web www.easycloud.it
tel 02 3671 4024

NOTA: è preferibile notificare la presenza per l’aperitivo.

I am going green

A photovoltaic (PV) module that is composed of multiple PV cells. Two or more interconnected PV modules create an array. (Photo credit: Wikipedia)

Finally I decided to move towards green energy and tomorrow they’ll start mounting solar panel on the roof. Well at least I will have a lower impact on the planet.

Related articles

• The dirty side of solar (thepoliticscafe.com)
• Green Energy’s Hazardous Wastes (nationalreview.com)
• Obama’s ‘green’ energy produces a lot of hazardous waste (utsandiego.com)
• Patriot Stor-All to be Largest, Private “Green Energy”-Powered Company in Lee Co. (naplesnews.com)
• Obama Administration may have started the first green trade war (polizeros.com)
• Solar Industry Grapples With Hazardous Wastes (abcnews.go.com)
• What If Everything Could Be A Solar Panel? (fastcoexist.com)
• Simple Ways of Turning your Roof into a Model of Green Living (greenerideal.com)
• Solar Panel Makers Fail to Report Waste (environmentalleader.com)
• United Communities goes ‘green’ with solar energy (dvidshub.net)

Richiesta di aiuto :)

Come molti di voi gia sapranno (altrimenti possono fare riferimento ad un mio post su The Puchi Herald: A.I. tech upodate) Clusit ha rilasciato la versione inglese del security report 2012 a cui ho collaborato per la sezione sulla mobile security.
Anche per il 2003 Clusit tra le sue attività ha in programma di pubblicare un nuovo Security Report, in quest’ottica mi dovrei occupare ancora della sezione sulla mobile security.
Al fine di rendere la sezione più aderente ai nostri interessi e rinforzare uno spirito di community vi pregherei di farmi avere idee consigli, riferimenti, materiale, statistiche che ritenete importanti ed attinenti al una pubblicazione del genere, su cui io possa lavorare. ovviamente riporterò tutti i riferimenti in calce alla sezione
grazie per l’aiuto.
Antonio

Related articles

• Italy (owasp.org)
• Happy Cybersecurity Awareness Month! (networkworld.com)
• Italy OWASP Day 2012 (owasp.org)
• NCSAM: Diversity, Consistency, and Security Intelligence (blogs.cisco.com)
• Easing the Pain After a Security Breakdown (technewsworld.com)
• Cybercrime Costs on the Rise, HP-Sponsored Study Finds (webpronews.com)

This work is licensed under a Creative Commons Attribution By license.

CLUSIT Security Summit:domani al via l'edizione 2012!

CLUSIT Security Summit

 

Milano, 20-21-22 Marzo 2012 AtaHotel Executive – v.le Don Luigi Sturzo, 45 ore 9-18

 

Aggiornamento, formazione e informazione per manager e tecnici della ICT Security!