Stefano Gazzella : 8 Dicembre 2023 08:54
Un prontuario per la gestione di un data breach può rappresentare una soluzione pratica anche le piccole organizzazioni. Essere pronti ad affrontare una violazione di sicurezza è infatti fondamentale affinché si possano da un lato rispettare tutti gli adempimenti richiesti dalla norma e una corretta comunicazione nei confronti degli stakeholder per la gestione della crisi. E se gli standard tecnici richiedono un continuo aggiornamento e il tenere conto dello stato dell’arte, nell’assetto organizzativo è indispensabile invece aver individuato ruoli e responsabilità di tutti i soggetti che intervengono o possono intervenire nella procedura.
Per fare ciò è necessario un lavoro di progettazione che coinvolga non soltanto le funzioni privacy ma anche ulteriori soggetti interni che sono in grado di contribuire a qualsiasi titolo alla gestione della violazione. Non è da sottovalutare ad esempio l’apporto del Responsabile Qualità, delle Risorse Umane o finanche del Marketing, dal momento che la capacità di gestione di un incidente di sicurezza non è una questione riservata al solo ufficio del DPO e al CED. Certamente gli esperti legali e di sicurezza informatica hanno un ruolo preminente, ma i contributi di ulteriori esperti è fondamentale per raggiungere una soglia di efficienza accettabile. Rispettare i tempi brevi che vengono prescritti dalle varie norme (c’è anche la NIS 2 con la preallerta entro 24 ore, non solo la notifica entro 72 ore) è possibile solo se una procedura è stata prevista ed implementata correttamente. Anche ricorrendo ad automazioni, esternalizzazione di alcuni passaggi, addestramento e responsabilizzazione del personale. Tutt’altro che qualcosa che si possa improvvisare o costruire senza tenere conto del contesto.
Se l’ultimo passaggio della violazione è la sua registrazione, il primo è senz’altro la rilevazione. Ma come è possibile rilevare un data breach se non ci si intende sui termini fra il personale, interno o esterno, che accede ai dati personali o che può comunque può essere in grado di riferire su una violazione di sicurezza? Se non è chiaro ad esempio il concetto di che cosa sia un dato personale, così come il punto di contatto cui fare riferimento, o le informazioni rilevanti da dove chiedere o riportare, il disastro è a dir poco prevedibile.
E se già all’interno è complesso adottare un linguaggio comune, ancor più lo sarà nei confronti di soggetti esterni – quali emblematicamente i responsabili del trattamento – se nelle istruzioni loro conferite ai sensi dell’art. 28 GDPR ci si è limitati a riportare un generico obbligo di assistenza nel rispetto degli artt. 33 e 34 GDPR anziché allegare la procedura o un suo estratto.
Prima del t(0) dell’incidente è dunque necessario quanto meno che si sia raggiunta una soglia uniforme di linguaggio in modo tale da poter affrontare l’inevitabile stress gestionale dell’incidente quanto meno parlando la stessa lingua. E sapendo anche a chi dover riferire, e che cosa deve fare ciascuno dei soggetti inseriti all’interno del flusso informativo. In tal senso una matrice RACI può ben provvedere, ma ancor più lo fa il prontuario indicando chi deve fare cosa. Senza il bisogno di arzigogolate premesse. Nelle istruzioni tutto ciò che conta è che siano chiare ed inequivocabili.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Attenzione infine a credere che un prontuario possa essere per sempre. L’organizzazione può cambiare così come le attività che svolge sui dati personali, dopodiché possono mutare anche le best practices e le tecnologie disponibili, ma è anche possibile rilevare spunti di miglioramento che nulla aggiungono agli adempimenti normativi ma comportano una riduzione dei costi e migliorano l’efficienza operativa. Il rischio di non svolgere un’attività periodica di riesame e aggiornamento è che nel tempo la procedura divenga obsoleta, sia disattesa o comunque giaccia incontrollata generando in questo modo un’incertezza a riguardo. E dunque un rischio significativo tanto in ambito di compliance GDPR che di sicurezza dei dati e delle informazioni.
L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...
Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...
In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...
“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...
Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006