Data breach, DPO ladro! (cit.)
A pensarci bene, però, c’è anche una similare esistenziale che di solito è addossata al sysadmin. Il quale, similmente al DPO, magari fino al giorno prima le vulnerabilità le aveva anche evidenziate tutte con tanto di invito a provvedere a predisporre un budget dedicato. Ma è rimasto inascoltato. Insomma: uniti nella sorte di pareri perduti, un po’ come il senno d’Orlando sulla Luna.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’etica della colpa – o per meglio dire: della ricerca forsennata di un colpevole – rappresenta un dispendio di risorse per l’organizzazione. Sarebbe meglio ragionare secondo responsabilità e definire così i ruoli, in modo efficace e seguendo logiche di empowerment. In questo caso l’unico limite è quello di non filosofeggiare troppo, altrimenti si rischia di cadere nel pozzo dell’inefficacia al pari di un Talete qualsiasi ben poco avvezzo alla praticità. E quindi forse smetterla di dire “E allora il DPO?” ad ogni data breach, e iniziare a ricercare piuttosto le cause di ciò che è accaduto può giovare. Soprattutto se si valuta la capacità di reazione dell’organizzazione alla violazione di sicurezza.
Ovviamente, per far ciò bisogna rileggere il ruolo del DPO, anche se questo può sembrare in parte smitizzare la funzione e per alcuni un sacrilegio. Alcuni storyteller l’hanno presentata persino come “longa manus del Garante in azienda”, che è più un ottimo claim ma si tiene ben distante dalla realtà. Sempre restando in tema di mani, non è che con le imposizioni delle stesse – o per effetto di una mera designazione – il DPO risolva per incanto tutte le non conformità e le vulnerabilità di sicurezza. Credere a ciò comporta l’essere preda di allucinazioni, che sia nella compliance sia nell’information security hanno la brutta abitudine di generare false convinzioni destinate a giacere solo sulla carta. E nello specifico ambito della sicurezza, si parla per l’appunto in modo tutt’altro che positivo di paper security.
Il data breach è qualcosa che non solo può accadere, ma che soprattutto va gestito. E non solo nelle comunicazioni interne ed esterne nei confronti degli stakeholder. Ovviamente, se è stato provocato da vulnerabilità irrisolte, ciò comporterà una violazione del principio di integrità e riservatezza. Ma una volta che l’evento di violazione si realizza, il passato e ciò che si sarebbe dovuto fare sfuma e si presenta dirompente un presente che scandisce le azioni. Che queste siano di analisi, mitigazione, o comunicazione, ad esempio, la loro efficacia dipende solo dalla preparazione dell’organizzazione che viene messa alla prova in un vero e proprio stress test che riguarda ogni passaggio. Dalla rilevazione alla risposta, con tutte le azioni in reazione o anche per prevenire conseguenze ulteriori tenendo conto della riskchain.
Avere solo la designazione del DPO senza un sistema di gestione e personale addestrato, sarebbe come avere il jet pilder senza Mazinga Z. Certamente d’effetto, ma poco efficace. E la responsabilità per questo ricade sempre e comunque sull’organizzazione, la quale risponde del posizionamento delle funzioni interne, del budget dedicato e dell’adeguatezza della sicurezza allo stato dell’arte.
Questa non è certo un’apologia acritica della funzione di DPO, dal momento che rappresenterebbe uno sfoggio piuttosto palese di disonestà intellettuale. Questa figura, invero piuttosto nuova, ha subito tanto le distorsioni che le opacità di una certa narrazione di mercato più interessata a voler accaparrarsi una fetta maggiore del budget aziendale che svolgere in modo efficace e puntuale la funzione cui è preposta dal GDPR. Ovverosia: primariamente garantire il rispetto della normativa in materia di protezione dei dati personali e tutelare i diritti degli interessati. Ma qui probabilmente si indulge nel pensar male e far peccato.
Esistono degli inciampi comuni del DPO nei processi di gestione della sicurezza, che possono essere per lo più riconducibili ad un’incapacità di comunicare ed integrarsi con le altre funzioni coinvolte. Emblematicamente e in modo più frequente, con l’ufficio IT, il CED o il CISO. Talvolta spendendosi più in opposizione che nella ricerca di punti di incontro e cooperazione. E qui la confusione del ruolo scusa ben poco, perché anche l’organizzazione designante ha la responsabilità di non aver promosso un’integrazione adeguata della funzione.
Quando il conto verrà inevitabilmente presentato agli interessati, tutte queste carenze di gestione e progettazione fondamentali propagheranno i propri effetti negativi nella situazione di crisi di un data breach. Infatti, la realtà ha la pessima abitudine di schivare qualsivoglia scusante si possa frapporre a un’inadeguata progettazione, implementazione e controllo di un sistema di sicurezza.
Questo significa dunque che il DPO può intervenire – e anzi: deve – nella gestione della sicurezza. Ma lo deve fare instaurando delle sinergie virtuose, sorvegliando lo stato dell’arte e i rischi, formulando pareri se del caso e promuovendo le politiche di formazione e sensibilizzazione del personale. Il tutto tenendo conto come parametro orientativo l’efficacia, dialogando continuamente con esperti tecnici nei tavoli di lavoro e in sede di audit. Chiedendo anche al management che siano collocate risorse aggiuntive per provvedere ai fabbisogni individuati. Insomma: occorre che il ruolo sia proattivo e propositivo, e non solo di reazione rispetto a richieste d’intervento o eventi per cui da procedura il DPO deve essere c oinvolto.
Ma se questi interventi del DPO viene ignorato, sia esso consulenziale e informativo, o di sorveglianza, chi è il vero ladro iconicamente responsabile, come ciascun governo in caso di pioggia? Certo, talvolta fa più comodo un parafulmine che un’assunzione di responsabilità. Ma anche qui, forse, pensiamo male e facciamo nuovamente peccato.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Vulnerabilità
Cybercrime
Cybercrime
Innovazione