"Non mi succederà", "La mia azienda non è famosa, chi vuoi che sappia che ho dei database"? La scaramanzia regna in alcune aziende: affidarsi alla sorte è una soluzione irrazionale e irresponsabile per le aziende che raccolgono e trattano dati. Perché la verità è che succede: la violazione degli archivi è una cosa che capita. Analizziamo un caso di violazione e vediamo cosa occorre fare.
Punto primo: tutti dovrebbero assicurarsi di porre in essere procedure che consentano di individuare, riportare e investigare le violazioni di dati personali.
L’attenzione rispetto al tema della security è ancora troppo bassa: basti pensare che, mediamente, ci si accorge di essere sotto attacco solo 214 giorni dopo che questo è iniziato. E che nel 69% dei casi “accorgersene” non è nemmeno la parola giusta da utilizzare, visto che è qualcuno dall’esterno a notificarcelo.
Sono attacchi di origine per lo più sconosciuta che crescono a un ritmo vertiginoso: sono infatti ben 323 mila i nuovi malware “scoperti” ogni giorno in questo 2017.
Il Cyber Risk Riguarda Tutti
Il cyber risk riguarda aziende di ogni settore, dal banking al finance, dalla sanità al settore manifatturiero.
Qual è il modo giusto per difendersi, soprattutto in ambito industriale? Se ne è parlato a Brescia, in occasione di un convegno organizzato organizato dal Museo Mille Miglia di Brescia in collaborazione con Zurich e BM Group.
“L’evoluzione 4.0 e la progressiva penetrazione dell’IT nei processi manifatturieri rappresentano certamente una grande opportunità, ma anche un potenziale problema a causa dell’aumento dei dispositivi connessi e della maggiore esposizione degli asset - ha spiegato Michele Vezzola di BM Group -. Gli attacchi possono provenire dall’interno o dall’esterno del perimetro aziendale da laptop infetti o da router insicuri. In ambito manifatturiero occorre scegliere una piattaforma di sicurezza che conosca le peculiarità del contesto e si concentri sul livello di controllo e supervisione”.
In Italia, in alcuni casi è già previsto che particolari categorie di titolari comunichino al Garante le violazioni subite. Con il Regolamento, si estendono a tutti i titolari.
Occorrerà assicurarsi di avere adottato procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica, e indagarne le cause e gli effetti.
Ciò può importare una ricognizione dei dati coinvolti nei trattamenti operati, evidenziando quelli non sottoposti all’obbligo di comunicazione di data breach. Inoltre, quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all’interessato senza ingiustificato ritardo.
Per Esempio
Ciò accade ad esempio quando la perdita di dati possa esporre gli interessati a perdite finanziarie. Queste comunicazioni vanno effettuate in breve tempo, e possono essere concomitanti e coinvolgere anche un importante numero di interessati: sarà opportuno predisporre idonee procedure e modulistica e aggiornare i dati degli interessati ai quali eventuali violazioni andrebbero comunicate. Non solo: le comunicazioni agli interessati non possono ricalcare quelle effettuate all’Autorità di controllo, ma dovranno essere epurate di tecnicismi e legalese, dato che il Regolamento stesso prevede che le comunicazioni agli interessati debbano adottare un linguaggio semplice e a loro immediatamente comprensibile.
Non solo: il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i rimedi adottati. Tale documentazione consentirà all’autorità di controllo di verificare il rispetto delle prescrizioni normative.
Tutti i titolari del trattamento dati dovranno comunicare al Garante della privacy eventuali violazioni, attraverso una notifica data breach.
È importante che soprattutto i comparti IT aziendali siano posti in condizione di operare rapidamente in caso di violazioni, in modo da prendere le precauzioni necessarie e consentire di assolvere agli obblighi di comunicazione connessi nel rispetto dei termini assegnati dal legislatore.
La violazione delle norme sulla comunicazione di data breach espone il titolare e il responsabile a sanzioni autonome che si affiancano a quelle eventualmente comminabili per la violazione di dati stessa.
Una volta avvenuto l’incidente è fondamentale avere una risposta pronta. Per questo sono nate figure come quella dell’Incident Manager, una sorta di “pivot” in grado di coordinare tutti gli specialisti che servono a gestire in maniera rapida ed efficace la risposta a un incidente. Chi sceglie di avvalersi dell’opera di un Incident Manager ha, di fatto, la garanzia che il problema sarà gestito in tutte le sue componenti e che il danno sarà il più possibile mitigato.
Per capire cosa rischi in caso di macato adeguamento al nuovo Regolamento Europeo sulla Privacy, leggi anche questo articolo.
Abbiamo raccolto tutte le principali novità legislative in una Guida che puoi avere subito. Scaricala Gratis in PDF cliccando qui sotto.