Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Perchè un prontuario di gestione del data breach può essere un’ottima idea anche per piccole organizzazioni

Stefano Gazzella : 8 Dicembre 2023 08:54

Un prontuario per la gestione di un data breach può rappresentare una soluzione pratica anche le piccole organizzazioni. Essere pronti ad affrontare una violazione di sicurezza è infatti fondamentale affinché si possano da un lato rispettare tutti gli adempimenti richiesti dalla norma e una corretta comunicazione nei confronti degli stakeholder per la gestione della crisi. E se gli standard tecnici richiedono un continuo aggiornamento e il tenere conto dello stato dell’arte, nell’assetto organizzativo è indispensabile invece aver individuato ruoli e responsabilità di tutti i soggetti che intervengono o possono intervenire nella procedura.

Per fare ciò è necessario un lavoro di progettazione che coinvolga non soltanto le funzioni privacy ma anche ulteriori soggetti interni che sono in grado di contribuire a qualsiasi titolo alla gestione della violazione. Non è da sottovalutare ad esempio l’apporto del Responsabile Qualità, delle Risorse Umane o finanche del Marketing, dal momento che la capacità di gestione di un incidente di sicurezza non è una questione riservata al solo ufficio del DPO e al CED. Certamente gli esperti legali e di sicurezza informatica hanno un ruolo preminente, ma i contributi di ulteriori esperti è fondamentale per raggiungere una soglia di efficienza accettabile. Rispettare i tempi brevi che vengono prescritti dalle varie norme (c’è anche la NIS 2 con la preallerta entro 24 ore, non solo la notifica entro 72 ore) è possibile solo se una procedura è stata prevista ed implementata correttamente. Anche ricorrendo ad automazioni, esternalizzazione di alcuni passaggi, addestramento e responsabilizzazione del personale. Tutt’altro che qualcosa che si possa improvvisare o costruire senza tenere conto del contesto.

Il punto zero: l’importanza di un linguaggio condiviso.

Se l’ultimo passaggio della violazione è la sua registrazione, il primo è senz’altro la rilevazione. Ma come è possibile rilevare un data breach se non ci si intende sui termini fra il personale, interno o esterno, che accede ai dati personali o che può comunque può essere in grado di riferire su una violazione di sicurezza? Se non è chiaro ad esempio il concetto di che cosa sia un dato personale, così come il punto di contatto cui fare riferimento, o le informazioni rilevanti da dove chiedere o riportare, il disastro è a dir poco prevedibile.

E se già all’interno è complesso adottare un linguaggio comune, ancor più lo sarà nei confronti di soggetti esterni – quali emblematicamente i responsabili del trattamento – se nelle istruzioni loro conferite ai sensi dell’art. 28 GDPR ci si è limitati a riportare un generico obbligo di assistenza nel rispetto degli artt. 33 e 34 GDPR anziché allegare la procedura o un suo estratto.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Prima del t(0) dell’incidente è dunque necessario quanto meno che si sia raggiunta una soglia uniforme di linguaggio in modo tale da poter affrontare l’inevitabile stress gestionale dell’incidente quanto meno parlando la stessa lingua. E sapendo anche a chi dover riferire, e che cosa deve fare ciascuno dei soggetti inseriti all’interno del flusso informativo. In tal senso una matrice RACI può ben provvedere, ma ancor più lo fa il prontuario indicando chi deve fare cosa. Senza il bisogno di arzigogolate premesse. Nelle istruzioni tutto ciò che conta è che siano chiare ed inequivocabili.

Il lavoro non finisce mai: la necessità di un riesame e aggiornamento continuo.

Attenzione infine a credere che un prontuario possa essere per sempre. L’organizzazione può cambiare così come le attività che svolge sui dati personali, dopodiché possono mutare anche le best practices e le tecnologie disponibili, ma è anche possibile rilevare spunti di miglioramento che nulla aggiungono agli adempimenti normativi ma comportano una riduzione dei costi e migliorano l’efficienza operativa. Il rischio di non svolgere un’attività periodica di riesame e aggiornamento è che nel tempo la procedura divenga obsoleta, sia disattesa o comunque giaccia incontrollata generando in questo modo un’incertezza a riguardo. E dunque un rischio significativo tanto in ambito di compliance GDPR che di sicurezza dei dati e delle informazioni.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006