Cosa faccio

Sicurezza Informatica (analisi del rischio, valutazione delle minacce, di eventi accidentali e indesiderati, contromisure, misure e policy di sicurezza, programmi di protezione e di controllo)

Sicurezza logica, fisica ed ambientale (sicurezza passiva, procedure, sistemi e strumenti relativi a sicurezza dei luoghi, degli ambiti di trattamento, degli strumenti informatici, sistemi di autenticazione ed autorizzazione, procedure di controllo, log e report degli accessi e delle operazioni)

Disaster Recovery (valutazioni rischi, impatto disastri, tipologie,  misure di controllo preventive – reportistiche – correttive, misure tecniche , strategie di riduzione del rischio, piano di disaster recovery, sistemi di backup e ripristino)

Business Continuity (definizione architetture di continuità operativa, business continuity plan, piano di continuità operativa, per pubblica amministrazione, banche, aziende sanitarie, organizzazioni)

NetWorks Security (topologie delle reti, valutazioni rischi correlati e misure di protezione, implementazione di ulteriori livelli di sicurezza, riduzione della superficie di attacco, verifiche e controllo, V.P.N. virtual private network protezione delle comunicazioni private)

Firewalls – UTMs – Secure Appliance (valutazione, definizione e dimensionamento degli apparati , schemi di installazione, definizione ed implementazione delle regole di blocco e controllo, report e alerting, aggiornamento e verifiche di sicurezza)

I.D.S. Intrusion Detection Systems (sistemi di logging di eventi e di traffico di rete, per il rilevamento e di tentativi di accesso e report di eventuali data-breaches)

LOG Amministratori di Sistema (strumenti di secure logging e reporting per la realizzazione del provvedimento del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”)

Risk Analysis (valutazione dei rischi che incombono, relative conseguenze, impatto derivante, misure di minimizzazione o annullamento del rischio)

Security Audit (verifiche di sicurezza su sistemi, architetture, devices, PCs, SERVERs, programmi e sistemi operativi, valutazione sicurezza software & hardware)

Privacy Audit (attività di auditing di tutti i processi aziendali, dei trattamenti di dati e dei loro flussi, per valutare il grado di conformità alle normative cogenti)

Penetration Test (attività concordata di test per verificare la sicurezza e rilevare le vulnerabilità delle infrastrutture, di gateways, server ed altri dispositivi, esposti al pubblico o in rete locale)

Vulnerability Assessment (controlli e valutazioni, non attive, sulla sicurezza di strumenti elettronici e/o informatici utilizzati per trattamento e trasmissione di dati)

Secure Erase (procedure e dispositivi per la cancellazione sicura e definitiva di dati da supporti, strumenti e dispositivi elettronici e informatici)

Sistemi di Anonimizzazione (definizione di processi, strumenti e sistemi di anonimizzazione dei dati personali)

S.L.A. Service Level Agreements (valutazione, definizione, controllo degli accordi sul livello di servizio con/verso terzi)

Privacy by Design & Privacy by Default (definizione di architetture, processi, sistemi, software Privacy-Designed e Privacy-Oriented)

D.P.I.A. Data Protection Impact Assessment (Valutazione d’Impatto sulla Protezione dei Dati – articolo 35 regolamento UE 2016/679)

General Data Protection Regulation GDPR Compliance (supporto in tutte le fasi di adeguamento alla Normativa Generale sulla Protezione dei Dati Personali)

Formazione di incaricati, responsabili e DPO – D.L.gs. 196/03 e GDPR UE 2016/679 (formazione di “incaricati” – persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” e responsabili del trattamento di dati personali)

Formazione Data Protection Officer (D.P.O.) G.D.P.R. 2016/679 (procedure per la selezione, nomina o formazione del nuovo ruolo di Responsabile della Protezione dei Dati, introdotto all’art. 37 G.D.P.R.)

Sistemi crittografici (valutazione e definizione di protezione dei dati tramite cifratura, File-System cifrati, Volume cifrato, DataBase cifrati, comunicazioni crittografate, sistemi di Full-Encrypt)

Autenticazione – Riservatezza – Integrità – Non Ripudiabilità dei messaggi (Sistemi di Firma Digitale, P.E.C. posta elettronica certificata, e-mail crittografata e/o autenticata, S.P.I.D. Sistema Pubblico di Identità Digitale)

Protezione asset digitali (definizione e implementazione di misure di sicurezza relative a tutti gli asset digitali, PC, NoteBook, Servers, NAS, DataStores, Virtual Machines, Server Web, e-mail …)

Cookie Law (Provvedimento dell’8 maggio 2014 – Autorità Garante per la protezione dei dati personali Italiano – normativa in materia di cookies sul web)

Procedure ISO/IEC 27001:2013ISO/IEC  29151:2017 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni SGSI o ISMS) e (code of practice for personally identifiable information protection).

Ruolo Data Protection Officer (DPO) – Responsabile Protezione Dati (RPD) metto a disposizione la mia professionalità per rivestire il ruolo di RPD – DPO esterno nelle organizzazioni seriamente intenzionate a proteggere i propri dati.


Lo scrivo a chiare lettere: non vendo nulla e non sostituisco nessuno; il mio ruolo consiste nell’affiancare le organizzazioni (con i loro dirigenti, impiegati, consulenti esterni, tecnici informatici e vendor vari) con le mie competenze, nel percorso di adeguamento alle normative vigenti.

La “privacy” non si impone dall’esterno; essa prende forma nei processi aziendali, dalle policy condivise, dalla consapevolezza delle persone, dagli strumenti informatici adatti, ben configurati e sempre aggiornati, dalla riduzione dei rischi sugli asset deputati ai trattamenti, dalle misure di sicurezza implementate e dal controllo della loro reale efficacia.

Prevenire è meglio che curare, dicevano i nostri antichi; la protezione dei dati personali è uno stile di vita, un modus operandi, deve fare parte del DNA aziendale, ne costituisce uno dei processi più importanti ; realizzarla ha sicuramente un costo, implementarla introduce un impegno aggiunto.

Ma quanto costerebbe un incidente security? Quali effetti potrebbe produrre sulla vita delle persone? Cosa comporterebbe alla nostra azienda, a prescindere dalle sanzioni?

Per avere risposte a queste ed altre domande, incontriamoci; ho 24 anni di esperienza e centinaia di soluzioni ancora attive e compliant alle normative.