Stefano Gazzella : 8 Dicembre 2023 08:54
Un prontuario per la gestione di un data breach può rappresentare una soluzione pratica anche le piccole organizzazioni. Essere pronti ad affrontare una violazione di sicurezza è infatti fondamentale affinché si possano da un lato rispettare tutti gli adempimenti richiesti dalla norma e una corretta comunicazione nei confronti degli stakeholder per la gestione della crisi. E se gli standard tecnici richiedono un continuo aggiornamento e il tenere conto dello stato dell’arte, nell’assetto organizzativo è indispensabile invece aver individuato ruoli e responsabilità di tutti i soggetti che intervengono o possono intervenire nella procedura.
Per fare ciò è necessario un lavoro di progettazione che coinvolga non soltanto le funzioni privacy ma anche ulteriori soggetti interni che sono in grado di contribuire a qualsiasi titolo alla gestione della violazione. Non è da sottovalutare ad esempio l’apporto del Responsabile Qualità, delle Risorse Umane o finanche del Marketing, dal momento che la capacità di gestione di un incidente di sicurezza non è una questione riservata al solo ufficio del DPO e al CED. Certamente gli esperti legali e di sicurezza informatica hanno un ruolo preminente, ma i contributi di ulteriori esperti è fondamentale per raggiungere una soglia di efficienza accettabile. Rispettare i tempi brevi che vengono prescritti dalle varie norme (c’è anche la NIS 2 con la preallerta entro 24 ore, non solo la notifica entro 72 ore) è possibile solo se una procedura è stata prevista ed implementata correttamente. Anche ricorrendo ad automazioni, esternalizzazione di alcuni passaggi, addestramento e responsabilizzazione del personale. Tutt’altro che qualcosa che si possa improvvisare o costruire senza tenere conto del contesto.
Se l’ultimo passaggio della violazione è la sua registrazione, il primo è senz’altro la rilevazione. Ma come è possibile rilevare un data breach se non ci si intende sui termini fra il personale, interno o esterno, che accede ai dati personali o che può comunque può essere in grado di riferire su una violazione di sicurezza? Se non è chiaro ad esempio il concetto di che cosa sia un dato personale, così come il punto di contatto cui fare riferimento, o le informazioni rilevanti da dove chiedere o riportare, il disastro è a dir poco prevedibile.
E se già all’interno è complesso adottare un linguaggio comune, ancor più lo sarà nei confronti di soggetti esterni – quali emblematicamente i responsabili del trattamento – se nelle istruzioni loro conferite ai sensi dell’art. 28 GDPR ci si è limitati a riportare un generico obbligo di assistenza nel rispetto degli artt. 33 e 34 GDPR anziché allegare la procedura o un suo estratto.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Prima del t(0) dell’incidente è dunque necessario quanto meno che si sia raggiunta una soglia uniforme di linguaggio in modo tale da poter affrontare l’inevitabile stress gestionale dell’incidente quanto meno parlando la stessa lingua. E sapendo anche a chi dover riferire, e che cosa deve fare ciascuno dei soggetti inseriti all’interno del flusso informativo. In tal senso una matrice RACI può ben provvedere, ma ancor più lo fa il prontuario indicando chi deve fare cosa. Senza il bisogno di arzigogolate premesse. Nelle istruzioni tutto ciò che conta è che siano chiare ed inequivocabili.
Attenzione infine a credere che un prontuario possa essere per sempre. L’organizzazione può cambiare così come le attività che svolge sui dati personali, dopodiché possono mutare anche le best practices e le tecnologie disponibili, ma è anche possibile rilevare spunti di miglioramento che nulla aggiungono agli adempimenti normativi ma comportano una riduzione dei costi e migliorano l’efficienza operativa. Il rischio di non svolgere un’attività periodica di riesame e aggiornamento è che nel tempo la procedura divenga obsoleta, sia disattesa o comunque giaccia incontrollata generando in questo modo un’incertezza a riguardo. E dunque un rischio significativo tanto in ambito di compliance GDPR che di sicurezza dei dati e delle informazioni.
Stefano GazzellaSecondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...
È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulne...
Negli ultimi mesi, due episodi inquietanti hanno scosso l’opinione pubblica e il settore della sicurezza informatica italiana. Il primo ha riguardato un ospedale italiano, violato nel suo cuore...
In questi giorni, sul noto forum underground exploit.in, attualmente chiuso e accessibile solo su invito – sono stati messi in vendita degli exploit per una vulnerabilità di tipo 0day che ...
Il CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
