Stefano Gazzella : 20 Novembre 2023 07:43
Data breach, DPO ladro! (cit.)
A pensarci bene, però, c’è anche una similare esistenziale che di solito è addossata al sysadmin. Il quale, similmente al DPO, magari fino al giorno prima le vulnerabilità le aveva anche evidenziate tutte con tanto di invito a provvedere a predisporre un budget dedicato. Ma è rimasto inascoltato. Insomma: uniti nella sorte di pareri perduti, un po’ come il senno d’Orlando sulla Luna.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’etica della colpa – o per meglio dire: della ricerca forsennata di un colpevole – rappresenta un dispendio di risorse per l’organizzazione. Sarebbe meglio ragionare secondo responsabilità e definire così i ruoli, in modo efficace e seguendo logiche di empowerment. In questo caso l’unico limite è quello di non filosofeggiare troppo, altrimenti si rischia di cadere nel pozzo dell’inefficacia al pari di un Talete qualsiasi ben poco avvezzo alla praticità. E quindi forse smetterla di dire “E allora il DPO?” ad ogni data breach, e iniziare a ricercare piuttosto le cause di ciò che è accaduto può giovare. Soprattutto se si valuta la capacità di reazione dell’organizzazione alla violazione di sicurezza.
Ovviamente, per far ciò bisogna rileggere il ruolo del DPO, anche se questo può sembrare in parte smitizzare la funzione e per alcuni un sacrilegio. Alcuni storyteller l’hanno presentata persino come “longa manus del Garante in azienda”, che è più un ottimo claim ma si tiene ben distante dalla realtà. Sempre restando in tema di mani, non è che con le imposizioni delle stesse – o per effetto di una mera designazione – il DPO risolva per incanto tutte le non conformità e le vulnerabilità di sicurezza. Credere a ciò comporta l’essere preda di allucinazioni, che sia nella compliance sia nell’information security hanno la brutta abitudine di generare false convinzioni destinate a giacere solo sulla carta. E nello specifico ambito della sicurezza, si parla per l’appunto in modo tutt’altro che positivo di paper security.
Il data breach è qualcosa che non solo può accadere, ma che soprattutto va gestito. E non solo nelle comunicazioni interne ed esterne nei confronti degli stakeholder. Ovviamente, se è stato provocato da vulnerabilità irrisolte, ciò comporterà una violazione del principio di integrità e riservatezza. Ma una volta che l’evento di violazione si realizza, il passato e ciò che si sarebbe dovuto fare sfuma e si presenta dirompente un presente che scandisce le azioni. Che queste siano di analisi, mitigazione, o comunicazione, ad esempio, la loro efficacia dipende solo dalla preparazione dell’organizzazione che viene messa alla prova in un vero e proprio stress test che riguarda ogni passaggio. Dalla rilevazione alla risposta, con tutte le azioni in reazione o anche per prevenire conseguenze ulteriori tenendo conto della riskchain.
Avere solo la designazione del DPO senza un sistema di gestione e personale addestrato, sarebbe come avere il jet pilder senza Mazinga Z. Certamente d’effetto, ma poco efficace. E la responsabilità per questo ricade sempre e comunque sull’organizzazione, la quale risponde del posizionamento delle funzioni interne, del budget dedicato e dell’adeguatezza della sicurezza allo stato dell’arte.
Questa non è certo un’apologia acritica della funzione di DPO, dal momento che rappresenterebbe uno sfoggio piuttosto palese di disonestà intellettuale. Questa figura, invero piuttosto nuova, ha subito tanto le distorsioni che le opacità di una certa narrazione di mercato più interessata a voler accaparrarsi una fetta maggiore del budget aziendale che svolgere in modo efficace e puntuale la funzione cui è preposta dal GDPR. Ovverosia: primariamente garantire il rispetto della normativa in materia di protezione dei dati personali e tutelare i diritti degli interessati. Ma qui probabilmente si indulge nel pensar male e far peccato.
Esistono degli inciampi comuni del DPO nei processi di gestione della sicurezza, che possono essere per lo più riconducibili ad un’incapacità di comunicare ed integrarsi con le altre funzioni coinvolte. Emblematicamente e in modo più frequente, con l’ufficio IT, il CED o il CISO. Talvolta spendendosi più in opposizione che nella ricerca di punti di incontro e cooperazione. E qui la confusione del ruolo scusa ben poco, perché anche l’organizzazione designante ha la responsabilità di non aver promosso un’integrazione adeguata della funzione.
Quando il conto verrà inevitabilmente presentato agli interessati, tutte queste carenze di gestione e progettazione fondamentali propagheranno i propri effetti negativi nella situazione di crisi di un data breach. Infatti, la realtà ha la pessima abitudine di schivare qualsivoglia scusante si possa frapporre a un’inadeguata progettazione, implementazione e controllo di un sistema di sicurezza.
Questo significa dunque che il DPO può intervenire – e anzi: deve – nella gestione della sicurezza. Ma lo deve fare instaurando delle sinergie virtuose, sorvegliando lo stato dell’arte e i rischi, formulando pareri se del caso e promuovendo le politiche di formazione e sensibilizzazione del personale. Il tutto tenendo conto come parametro orientativo l’efficacia, dialogando continuamente con esperti tecnici nei tavoli di lavoro e in sede di audit. Chiedendo anche al management che siano collocate risorse aggiuntive per provvedere ai fabbisogni individuati. Insomma: occorre che il ruolo sia proattivo e propositivo, e non solo di reazione rispetto a richieste d’intervento o eventi per cui da procedura il DPO deve essere c oinvolto.
Ma se questi interventi del DPO viene ignorato, sia esso consulenziale e informativo, o di sorveglianza, chi è il vero ladro iconicamente responsabile, come ciascun governo in caso di pioggia? Certo, talvolta fa più comodo un parafulmine che un’assunzione di responsabilità. Ma anche qui, forse, pensiamo male e facciamo nuovamente peccato.
Stefano GazzellaMicrosoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
