Perchè un prontuario di gestione del data breach può essere un’ottima idea anche per piccole organizzazioni

Stefano Gazzella : 8 Dicembre 2023 08:54

Un prontuario per la gestione di un data breach può rappresentare una soluzione pratica anche le piccole organizzazioni. Essere pronti ad affrontare una violazione di sicurezza è infatti fondamentale affinché si possano da un lato rispettare tutti gli adempimenti richiesti dalla norma e una corretta comunicazione nei confronti degli stakeholder per la gestione della crisi. E se gli standard tecnici richiedono un continuo aggiornamento e il tenere conto dello stato dell’arte, nell’assetto organizzativo è indispensabile invece aver individuato ruoli e responsabilità di tutti i soggetti che intervengono o possono intervenire nella procedura.

Per fare ciò è necessario un lavoro di progettazione che coinvolga non soltanto le funzioni privacy ma anche ulteriori soggetti interni che sono in grado di contribuire a qualsiasi titolo alla gestione della violazione. Non è da sottovalutare ad esempio l’apporto del Responsabile Qualità, delle Risorse Umane o finanche del Marketing, dal momento che la capacità di gestione di un incidente di sicurezza non è una questione riservata al solo ufficio del DPO e al CED. Certamente gli esperti legali e di sicurezza informatica hanno un ruolo preminente, ma i contributi di ulteriori esperti è fondamentale per raggiungere una soglia di efficienza accettabile. Rispettare i tempi brevi che vengono prescritti dalle varie norme (c’è anche la NIS 2 con la preallerta entro 24 ore, non solo la notifica entro 72 ore) è possibile solo se una procedura è stata prevista ed implementata correttamente. Anche ricorrendo ad automazioni, esternalizzazione di alcuni passaggi, addestramento e responsabilizzazione del personale. Tutt’altro che qualcosa che si possa improvvisare o costruire senza tenere conto del contesto.

Il punto zero: l’importanza di un linguaggio condiviso.

Se l’ultimo passaggio della violazione è la sua registrazione, il primo è senz’altro la rilevazione. Ma come è possibile rilevare un data breach se non ci si intende sui termini fra il personale, interno o esterno, che accede ai dati personali o che può comunque può essere in grado di riferire su una violazione di sicurezza? Se non è chiaro ad esempio il concetto di che cosa sia un dato personale, così come il punto di contatto cui fare riferimento, o le informazioni rilevanti da dove chiedere o riportare, il disastro è a dir poco prevedibile.

E se già all’interno è complesso adottare un linguaggio comune, ancor più lo sarà nei confronti di soggetti esterni – quali emblematicamente i responsabili del trattamento – se nelle istruzioni loro conferite ai sensi dell’art. 28 GDPR ci si è limitati a riportare un generico obbligo di assistenza nel rispetto degli artt. 33 e 34 GDPR anziché allegare la procedura o un suo estratto.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Prima del t(0) dell’incidente è dunque necessario quanto meno che si sia raggiunta una soglia uniforme di linguaggio in modo tale da poter affrontare l’inevitabile stress gestionale dell’incidente quanto meno parlando la stessa lingua. E sapendo anche a chi dover riferire, e che cosa deve fare ciascuno dei soggetti inseriti all’interno del flusso informativo. In tal senso una matrice RACI può ben provvedere, ma ancor più lo fa il prontuario indicando chi deve fare cosa. Senza il bisogno di arzigogolate premesse. Nelle istruzioni tutto ciò che conta è che siano chiare ed inequivocabili.

Il lavoro non finisce mai: la necessità di un riesame e aggiornamento continuo.

Attenzione infine a credere che un prontuario possa essere per sempre. L’organizzazione può cambiare così come le attività che svolge sui dati personali, dopodiché possono mutare anche le best practices e le tecnologie disponibili, ma è anche possibile rilevare spunti di miglioramento che nulla aggiungono agli adempimenti normativi ma comportano una riduzione dei costi e migliorano l’efficienza operativa. Il rischio di non svolgere un’attività periodica di riesame e aggiornamento è che nel tempo la procedura divenga obsoleta, sia disattesa o comunque giaccia incontrollata generando in questo modo un’incertezza a riguardo. E dunque un rischio significativo tanto in ambito di compliance GDPR che di sicurezza dei dati e delle informazioni.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore