Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data Breach e Colpe: Il DPO sotto accusa? Un’analisi che sfida gli stereotipi!

Stefano Gazzella : 20 Novembre 2023 07:43

Data breach, DPO ladro! (cit.)

A pensarci bene, però, c’è anche una similare esistenziale che di solito è addossata al sysadmin. Il quale, similmente al DPO, magari fino al giorno prima le vulnerabilità le aveva anche evidenziate tutte con tanto di invito a provvedere a predisporre un budget dedicato. Ma è rimasto inascoltato. Insomma: uniti nella sorte di pareri perduti, un po’ come il senno d’Orlando sulla Luna.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’etica della colpa – o per meglio dire: della ricerca forsennata di un colpevole – rappresenta un dispendio di risorse per l’organizzazione. Sarebbe meglio ragionare secondo responsabilità e definire così i ruoli, in modo efficace e seguendo logiche di empowerment. In questo caso l’unico limite è quello di non filosofeggiare troppo, altrimenti si rischia di cadere nel pozzo dell’inefficacia al pari di un Talete qualsiasi ben poco avvezzo alla praticità. E quindi forse smetterla di dire “E allora il DPO?” ad ogni data breach, e iniziare a ricercare piuttosto le cause di ciò che è accaduto può giovare. Soprattutto se si valuta la capacità di reazione dell’organizzazione alla violazione di sicurezza.

Ovviamente, per far ciò bisogna rileggere il ruolo del DPO, anche se questo può sembrare in parte smitizzare la funzione e per alcuni un sacrilegio. Alcuni storyteller l’hanno presentata persino come “longa manus del Garante in azienda”, che è più un ottimo claim ma si tiene ben distante dalla realtà. Sempre restando in tema di mani, non è che con le imposizioni delle stesse – o per effetto di una mera designazione – il DPO risolva per incanto tutte le non conformità e le vulnerabilità di sicurezza. Credere a ciò comporta l’essere preda di allucinazioni, che sia nella compliance sia nell’information security hanno la brutta abitudine di generare false convinzioni destinate a giacere solo sulla carta. E nello specifico ambito della sicurezza, si parla per l’appunto in modo tutt’altro che positivo di paper security.

Il data breach è qualcosa che non solo può accadere, ma che soprattutto va gestito. E non solo nelle comunicazioni interne ed esterne nei confronti degli stakeholder. Ovviamente, se è stato provocato da vulnerabilità irrisolte, ciò comporterà una violazione del principio di integrità e riservatezza. Ma una volta che l’evento di violazione si realizza, il passato e ciò che si sarebbe dovuto fare sfuma e si presenta dirompente un presente che scandisce le azioni. Che queste siano di analisi, mitigazione, o comunicazione, ad esempio, la loro efficacia dipende solo dalla preparazione dell’organizzazione che viene messa alla prova in un vero e proprio stress test che riguarda ogni passaggio. Dalla rilevazione alla risposta, con tutte le azioni in reazione o anche per prevenire conseguenze ulteriori tenendo conto della riskchain.

Avere solo la designazione del DPO senza un sistema di gestione e personale addestrato, sarebbe come avere il jet pilder senza Mazinga Z. Certamente d’effetto, ma poco efficace. E la responsabilità per questo ricade sempre e comunque sull’organizzazione, la quale risponde del posizionamento delle funzioni interne, del budget dedicato e dell’adeguatezza della sicurezza allo stato dell’arte.

Gli inciampi del DPO nella gestione della sicurezza

Questa non è certo un’apologia acritica della funzione di DPO, dal momento che rappresenterebbe uno sfoggio piuttosto palese di disonestà intellettuale. Questa figura, invero piuttosto nuova, ha subito tanto le distorsioni che le opacità di una certa narrazione di mercato più interessata a voler accaparrarsi una fetta maggiore del budget aziendale che svolgere in modo efficace e puntuale la funzione cui è preposta dal GDPR. Ovverosia: primariamente garantire il rispetto della normativa in materia di protezione dei dati personali e tutelare i diritti degli interessati. Ma qui probabilmente si indulge nel pensar male e far peccato.

Esistono degli inciampi comuni del DPO nei processi di gestione della sicurezza, che possono essere per lo più riconducibili ad un’incapacità di comunicare ed integrarsi con le altre funzioni coinvolte. Emblematicamente e in modo più frequente, con l’ufficio IT, il CED o il CISO. Talvolta spendendosi più in opposizione che nella ricerca di punti di incontro e cooperazione. E qui la confusione del ruolo scusa ben poco, perché anche l’organizzazione designante ha la responsabilità di non aver promosso un’integrazione adeguata della funzione.

Quando il conto verrà inevitabilmente presentato agli interessati, tutte queste carenze di gestione e progettazione fondamentali propagheranno i propri effetti negativi nella situazione di crisi di un data breach. Infatti, la realtà ha la pessima abitudine di schivare qualsivoglia scusante si possa frapporre a un’inadeguata progettazione, implementazione e controllo di un sistema di sicurezza.

Gli interventi del DPO nella gestione della sicurezza

Questo significa dunque che il DPO può intervenire – e anzi: deve – nella gestione della sicurezza. Ma lo deve fare instaurando delle sinergie virtuose, sorvegliando lo stato dell’arte e i rischi, formulando pareri se del caso e promuovendo le politiche di formazione e sensibilizzazione del personale. Il tutto tenendo conto come parametro orientativo l’efficacia, dialogando continuamente con esperti tecnici nei tavoli di lavoro e in sede di audit. Chiedendo anche al management che siano collocate risorse aggiuntive per provvedere ai fabbisogni individuati. Insomma: occorre che il ruolo sia proattivo e propositivo, e non solo di reazione rispetto a richieste d’intervento o eventi per cui da procedura il DPO deve essere c oinvolto.

Ma se questi interventi del DPO viene ignorato, sia esso consulenziale e informativo, o di sorveglianza, chi è il vero ladro iconicamente responsabile, come ciascun governo in caso di pioggia? Certo, talvolta fa più comodo un parafulmine che un’assunzione di responsabilità. Ma anche qui, forse, pensiamo male e facciamo nuovamente peccato.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...

Scoperto il primo bug 0day da una AI sul kernel Linux! Un punto di svolta nel bug hunting?

Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...