Cosa faccio

Sicurezza Informatica (analisi del rischio, valutazione delle minacce, di eventi accidentali e indesiderati, contromisure, misure e policy di sicurezza, programmi di protezione e di controllo)

Sicurezza logica, fisica ed ambientale (sicurezza passiva, procedure, sistemi e strumenti relativi a sicurezza dei luoghi, degli ambiti di trattamento, degli strumenti informatici, sistemi di autenticazione ed autorizzazione, procedure di controllo, log e report degli accessi e delle operazioni)

Disaster Recovery (valutazioni rischi, impatto disastri, tipologie,  misure di controllo preventive – reportistiche – correttive, misure tecniche , strategie di riduzione del rischio, piano di disaster recovery, sistemi di backup e ripristino)

Business Continuity (definizione architetture di continuità operativa, business continuity plan, piano di continuità operativa, per pubblica amministrazione, banche, aziende sanitarie, organizzazioni)

NetWorks Security (topologie delle reti, valutazioni rischi correlati e misure di protezione, implementazione di ulteriori livelli di sicurezza, riduzione della superficie di attacco, verifiche e controllo, V.P.N. virtual private network protezione delle comunicazioni wireless WiFi frequenza 2,4 GHz e 5 GHz- ho licenza di RadioAmatore, nominativo IZ5IKC, quindi posso legittimamente operare sulle tutte le frequenze disponibili, a differenza di altri)

Firewalls – UTMs – Secure Appliance (valutazione, definizione e dimensionamento degli apparati , schemi di installazione, definizione ed implementazione delle regole di blocco e controllo, report e alerting, aggiornamento e verifiche di sicurezza, manutenzione e controllo anche remoti)

I.D.S. Intrusion Detection Systems (sistemi di logging di eventi e di traffico di rete, per il rilevamento e di tentativi di accesso e report di eventuali data-breaches)

LOG Amministratori di Sistema (strumenti di secure logging e reporting per la realizzazione del provvedimento del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”)

Risk Analysis (valutazione dei rischi che incombono, relative conseguenze, impatto derivante, misure di minimizzazione o annullamento del rischio)

Security Audit (verifiche di sicurezza su sistemi, architetture, devices, PCs, SERVERs, programmi e sistemi operativi, valutazione sicurezza software & hardware)

Privacy Audit (attività di auditing di tutti i processi aziendali, dei trattamenti di dati e dei loro flussi, per valutare il grado di conformità alle normative cogenti)

Penetration Test (attività concordata di test per verificare la sicurezza e rilevare le vulnerabilità delle infrastrutture, di gateways, server ed altri dispositivi, esposti al pubblico o in rete locale)

Vulnerability Assessment (controlli e valutazioni, non attive, sulla sicurezza di strumenti elettronici e/o informatici utilizzati per trattamento e trasmissione di dati)

Secure Erase (procedure e dispositivi per la cancellazione sicura e definitiva di dati da supporti, strumenti e dispositivi elettronici e informatici)

Sistemi di Anonimizzazione (definizione di processi, strumenti e sistemi di anonimizzazione dei dati personali)

S.L.A. Service Level Agreements (valutazione, definizione, controllo degli accordi sul livello di servizio con/verso terzi)

Privacy by Design & Privacy by Default (definizione di architetture, processi, sistemi, software Privacy-Designed e Privacy-Oriented)

D.P.I.A. Data Protection Impact Assessment (Valutazione d’Impatto sulla Protezione dei Dati – articolo 35 regolamento UE 2016/679)

General Data Protection Regulation GDPR Compliance (supporto in tutte le fasi di adeguamento alla Normativa Generale sulla Protezione dei Dati Personali)

Formazione di incaricati, responsabili e DPO – D.L.gs. 196/03 e GDPR UE 2016/679 (formazione di “incaricati” – persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” e responsabili del trattamento di dati personali)

Formazione Data Protection Officer (D.P.O.) G.D.P.R. 2016/679 (procedure per la selezione, nomina o formazione del nuovo ruolo di Responsabile della Protezione dei Dati, introdotto all’art. 37 G.D.P.R.)

Sistemi crittografici (valutazione e definizione di protezione dei dati tramite cifratura, File-System cifrati, Volume cifrato, DataBase cifrati, comunicazioni crittografate, sistemi di Full-Encrypt)

Autenticazione – Riservatezza – Integrità – Non Ripudiabilità dei messaggi (Sistemi di Firma Digitale, P.E.C. posta elettronica certificata, e-mail crittografata e/o autenticata, S.P.I.D. Sistema Pubblico di Identità Digitale)

Protezione asset digitali (definizione e implementazione di misure di sicurezza relative a tutti gli asset digitali, PC, NoteBook, Servers, NAS, DataStores, Virtual Machines, Server Web, e-mail …)

Cookie Law (Provvedimento dell’8 maggio 2014 – Autorità Garante per la protezione dei dati personali Italiano – normativa in materia di cookies sul web)

Procedure ISO/IEC 27001:2013ISO/IEC  29151:2017 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni SGSI o ISMS) e (code of practice for personally identifiable information protection).

Data Protection Officer DPO – Responsabile Protezione Dati RPD sono disponibile, per le aziende ed organizzazioni seriamente intenzionate a proteggere i propri dati (e degli altri), a ricevere l’incarico per il ruolo di RPD – DPO esterno.


Lo scrivo a chiare lettere: non sostituisco nessuno, neanche quando ho l’onere di svolgere il ruolo di Responsabile della Protezione dei Dati Personali nella vostra organizzazione.

Non sono neanche un venditore di scatole magiche e, diversamente da altri fenomeni, non offro soluzioni pret-a-porter, software o bussolotti vari che vi sgravano dall’incombenza degli adeguamenti al GDPR; nessuno può sostituirsi a voi stessi nel compiere tutte le operazioni di trattamento secondo il Regolamento e proteggere i dati personali di terzi.

Il mio ruolo consiste nell’affiancare le organizzazioni (con i loro dirigenti, impiegati, consulenti esterni, tecnici informatici e vendor vari) con le mie competenze, esperienza ed impegno nel percorso di adeguamento condiviso alle normative vigenti.

La “privacy” non si impone dall’esterno; essa prende forma dai processi aziendali, nelle policy condivise, dalla consapevolezza delle persone, dagli strumenti informatici adeguati, ben configurati e sempre aggiornati, dalla riduzione dei rischi sugli asset deputati ai trattamenti, dalle misure di sicurezza implementate e dal controllo della loro reale efficacia.

Prevenire è meglio che curare, dicevano i nostri antichi; la protezione dei dati personali è uno stile di vita, un modus operandi, deve fare parte del DNA aziendale, ne costituisce uno dei processi più importanti ; realizzarla ha sicuramente un costo, implementarla introduce un impegno aggiunto.

Ma quanto costerebbe un incidente security? Quali effetti potrebbe produrre sulla vita delle persone? Cosa comporterebbe alla nostra azienda, a prescindere dalle sanzioni?

Per avere risposte a queste ed altre domande, incontriamoci; ho 24 anni di esperienza e centinaia di aziende soddisfatte e più sicure.