Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 8 Dicembre 2023 08:54
Un prontuario per la gestione di un data breach può rappresentare una soluzione pratica anche le piccole organizzazioni. Essere pronti ad affrontare una violazione di sicurezza è infatti fondamentale affinché si possano da un lato rispettare tutti gli adempimenti richiesti dalla norma e una corretta comunicazione nei confronti degli stakeholder per la gestione della crisi. E se gli standard tecnici richiedono un continuo aggiornamento e il tenere conto dello stato dell’arte, nell’assetto organizzativo è indispensabile invece aver individuato ruoli e responsabilità di tutti i soggetti che intervengono o possono intervenire nella procedura.
Per fare ciò è necessario un lavoro di progettazione che coinvolga non soltanto le funzioni privacy ma anche ulteriori soggetti interni che sono in grado di contribuire a qualsiasi titolo alla gestione della violazione. Non è da sottovalutare ad esempio l’apporto del Responsabile Qualità, delle Risorse Umane o finanche del Marketing, dal momento che la capacità di gestione di un incidente di sicurezza non è una questione riservata al solo ufficio del DPO e al CED. Certamente gli esperti legali e di sicurezza informatica hanno un ruolo preminente, ma i contributi di ulteriori esperti è fondamentale per raggiungere una soglia di efficienza accettabile. Rispettare i tempi brevi che vengono prescritti dalle varie norme (c’è anche la NIS 2 con la preallerta entro 24 ore, non solo la notifica entro 72 ore) è possibile solo se una procedura è stata prevista ed implementata correttamente. Anche ricorrendo ad automazioni, esternalizzazione di alcuni passaggi, addestramento e responsabilizzazione del personale. Tutt’altro che qualcosa che si possa improvvisare o costruire senza tenere conto del contesto.
Se l’ultimo passaggio della violazione è la sua registrazione, il primo è senz’altro la rilevazione. Ma come è possibile rilevare un data breach se non ci si intende sui termini fra il personale, interno o esterno, che accede ai dati personali o che può comunque può essere in grado di riferire su una violazione di sicurezza? Se non è chiaro ad esempio il concetto di che cosa sia un dato personale, così come il punto di contatto cui fare riferimento, o le informazioni rilevanti da dove chiedere o riportare, il disastro è a dir poco prevedibile.
E se già all’interno è complesso adottare un linguaggio comune, ancor più lo sarà nei confronti di soggetti esterni – quali emblematicamente i responsabili del trattamento – se nelle istruzioni loro conferite ai sensi dell’art. 28 GDPR ci si è limitati a riportare un generico obbligo di assistenza nel rispetto degli artt. 33 e 34 GDPR anziché allegare la procedura o un suo estratto.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Prima del t(0) dell’incidente è dunque necessario quanto meno che si sia raggiunta una soglia uniforme di linguaggio in modo tale da poter affrontare l’inevitabile stress gestionale dell’incidente quanto meno parlando la stessa lingua. E sapendo anche a chi dover riferire, e che cosa deve fare ciascuno dei soggetti inseriti all’interno del flusso informativo. In tal senso una matrice RACI può ben provvedere, ma ancor più lo fa il prontuario indicando chi deve fare cosa. Senza il bisogno di arzigogolate premesse. Nelle istruzioni tutto ciò che conta è che siano chiare ed inequivocabili.
Attenzione infine a credere che un prontuario possa essere per sempre. L’organizzazione può cambiare così come le attività che svolge sui dati personali, dopodiché possono mutare anche le best practices e le tecnologie disponibili, ma è anche possibile rilevare spunti di miglioramento che nulla aggiungono agli adempimenti normativi ma comportano una riduzione dei costi e migliorano l’efficienza operativa. Il rischio di non svolgere un’attività periodica di riesame e aggiornamento è che nel tempo la procedura divenga obsoleta, sia disattesa o comunque giaccia incontrollata generando in questo modo un’incertezza a riguardo. E dunque un rischio significativo tanto in ambito di compliance GDPR che di sicurezza dei dati e delle informazioni.
Stefano GazzellaNel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...
Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...
Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...
Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...
Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
