La sicurezza informatica è diventata sempre più centrale nell’attività di un’organizzazione. La digitalizzazione delle imprese lo impone, ancora di più da quando, con lo scoppio della pandemia, è aumentato l’utilizzo del web per una gamma sempre più ampia di servizi (non solo nell’e-commerce).
Uno dei pericoli maggiori riguarda la violazione dei dati, ovvero il data breach.
Quest’ultimo è un incidente di sicurezza, durante il quale i dati degli utenti possono venir consultati, copiati, rubati, trasmessi e divulgati da soggetti che non sono autorizzati a farlo, oppure distrutti, persi, modificati.
Nel caso di una simile violazione, è necessario un piano di intervento e gestione. Nel panorama attuale, in cui le minacce informatiche sono in continuo aumento e le aziende sono nel mirino dei cyber attacchi, essere preparati è decisivo: è fondamentale la differenza tra un incidente gestito e un potenziale disastro.
Essere pronti: questo è l’imperativo categorico. Quindi, occorre studiare tre aspetti:
Il regolamento europeo sulla protezione dei dati (il Gdpr) detta, in maniera strutturata, la normativa in tema di sicurezza informatica.
Tra le diverse prescrizioni contenute nel regolamento, spicca quella relativa alla necessità di saper gestire un’eventuale violazione dei sistemi. In tale ottica, il data breach management diventa uno strumento indispensabile per raccogliere tutti gli elementi e i dati, che consentono di ricostruire l’incidente e fornire all’autorità garante le informazioni per identificare con esattezza la portata dell’incidente stesso, le possibili conseguenze, nonché risalire alla dinamica dell’attacco che ha portato alla compromissione dei sistemi.
Questo obbligo previsto dalla legge ha, quindi indotto, le organizzazioni a introdurre policy e procedure dirette alla gestione di un data breach. E, in senso più ampio, rappresenta un tassello nella costruzione di una vera cultura della sicurezza, intesa come principio di azione costante a tutela dei dati.
Per la corretta gestione di un incidente di sicurezza informatica è necessario, quindi, essere in grado di poterne ricostruire la dinamica e valutarne l’impatto. Il prerequisito per questo tipo di operazione, però, è quello di avere un livello adeguato di visibilità sui sistemi informatici dell’azienda. In pratica, è necessario avere la possibilità di analizzare tutti i log di sistema che consentono di definire un quadro completo del data breach.
Le informazioni, infatti, dovranno essere fornite in allegato alla notifica dell’avvenuta violazione, salvo che si renda necessario, per la complessità dell’analisi, procedere ad una “notificazione in fasi”, in cui i dettagli possono essere forniti in un momento successivo alla prima notifica.
In particolare, secondo l’articolo 33 del Gdpr, in caso di violazione dei dati personali, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (il Garante per la protezione dei dati personali) senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Qualora la notifica superi le 72 ore, deve essere corredata dai motivi del ritardo.
Il responsabile del trattamento deve informare il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.
Tra gli obblighi imposti dal Gdpr c’è anche quello relativo alla comunicazione a tutte le persone interessate dalla violazione dei dati personali coinvolti nell’incidente. La determinazione dell’esatto impatto, di conseguenza, è una parte fondamentale nella gestione del data breach.
In questo senso, un elemento rilevante è il livello di protezione dei dati interessati: l’adozione in chiave preventiva di rigorose policy per la tutela dei dati (per esempio, attraverso l’applicazione di sistemi di crittografia) rappresenta, infatti, uno degli strumenti più efficaci per garantire l’intangibilità delle informazioni e, di conseguenza, la mitigazione del danno in caso di violazione dei sistemi.
E se violazione c’è stata, esiste una vulnerabilità che va eliminata o sanata. Quindi, il data breach management ha un ruolo ulteriore nella fase successiva alla gestione della violazione vera e propria. Questa comprende la definizione e l’adozione delle contromisure necessarie per rimuovere o correggere le vulnerabilità utilizzate dai pirati informatici per portare l’attacco stesso.
L’attività, che coinvolge chi è addetto alla sicurezza (o colui al quale è affidata la sua gestione) ha l’obiettivo non solo di rimuovere la falla del sistema individuata, ma di aumentare le resilienza dell’intera infrastruttura it.
Sempre nell’ottica della prevenzione e della sicurezza informatica, vi sono strumenti da cui non si può prescindere: il buon imprenditore, se vuole tutelare la sua azienda, programma interventi efficaci per affrontare anche l’imprevedibile.
È questa la ragione per cui è necessario predisporre il business continuity plan, ovvero il piano di continuità operativa: è l’insieme di procedure, documentate, necessarie alle organizzazioni per rispondere, recuperare, riprendere e ripristinare l'operatività a seguito di un’interruzione.
Il piano copre le risorse, i servizi e le attività richieste per poter assicurare la continuità delle funzioni organizzative critiche.
Le imprese che agiscono con azioni preventive, preparando un piano di intervento, sono in grado di superare le emergenze e le violazioni, tornando subito alla normalità. Questo ci introduce al tema del disaster recovery plan, ovvero al piano di recupero del disastro.
Il disaster recovery è l’insieme delle misure tecnologiche e logistico organizzative dirette a ripristinare dati, applicazioni e sistemi informatici necessari ad assicurare l’operatività del business per imprese, associazioni o enti, al verificarsi di guasti tecnici, calamità naturali o gravi emergenze che minacciano la sopravvivenza aziendale.
Il disaster recovery plan è il documento che esplicita queste misure, raccogliendo le procedure da adottare (a partire dalla classificazione dei dati e dei sistemi critici), ed è compreso all’interno del più ampio business continuity plan. Dunque, ne rappresenta solo un aspetto.
Infatti, il business continuity plan tiene conto non solo dell’eventuale compromissione della funzionalità tecnologica dell’azienda, ma anche degli eventi economici, normativi, sociali e finanziari che impattano sull’attività imprenditoriale.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza nel caso in cui si verifichi un data breach.
Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.