Le statistiche sulle violazioni dei dati offrono una lettura sobria: se leggete regolarmente questo blog, avrete notato che le violazioni dei dati sono comuni e spesso iniziano con un attacco di social engineering aumentato dal phishing.
Nel 2021, Cisco ha registrato che il 90% delle violazioni di dati inizia con il phishing, e la maggior parte di queste violazioni si basa sullo spear-phishing mirato. Un attacco informatico o anche un incidente che porta alla perdita di dati ha molte conseguenze. Ma cosa succede dopo una violazione dei dati? Di solito qualcuno deve assumersi la responsabilità di aver lasciato la porta aperta ai criminali informatici, quindi chi è il responsabile quando i dati vengono violati?
Le persone coinvolte in una violazione dei dati
Una violazione dei dati ha un impatto di vasta portata sulle persone di un'organizzazione. Un attacco informatico tocca il cuore di un'azienda, dai vertici ai dipendenti:
L'amministratore delegato
L'amministratore delegato svolge un ruolo fondamentale nel modo in cui la sicurezza informatica viene considerata all'interno dell'organizzazione. Una cultura della sicurezza viene dall'alto verso il basso e una violazione dei dati riflette una falla in questa cultura. Gli amministratori delegati sono anche nel mirino dei criminali informatici, con truffe come la frode dell'amministratore delegato e la Business Email Compromise (CEO) che utilizzano l'autorità dell'amministratore delegato per commettere frodi.
L'analista Gartner riassume la situazione prevedendo che, entro il 2024, il 75% degli amministratori delegati potrebbe essere personalmente responsabile di violazioni di dati ciberfisici se la propria azienda non si concentra o non investe sufficientemente nella sicurezza informatica. Quando si verifica una violazione dei dati, un amministratore delegato deve essere pronto a gestire la situazione e a mitigarne l'impatto sull'azienda.
Il Responsabile della sicurezza o CISO (Chief Information Security Officer)
Il responsabile della sicurezza è l'ovvio primo punto di riferimento quando qualcosa legato alla sicurezza va storto. In un sondaggio di Tripwire, il 21% dei responsabili delle decisioni IT attribuirebbe la colpa di una violazione della sicurezza al CISO. Questo non sorprende, dato che il lavoro di un CISO consiste nel prendere decisioni sulle migliori pratiche di sicurezza e nel supervisionarne l'applicazione.
Quindi, quando si verifica una violazione dei dati, il CISO o il responsabile della sicurezza sarà colui che si troverà sul posto a raccogliere i pezzi insieme al proprio team.
Il team di sicurezza o IT
I membri dei team IT o di sicurezza sono all'avanguardia in caso di violazione dei dati insieme ai loro manager. Il loro compito è quello di identificare e rispondere a una violazione dei dati. Questo viene fatto internamente o da un fornitore di servizi di sicurezza gestiti da terzi. Tuttavia, i tempi di identificazione di una violazione possono essere lunghi.
Ad esempio, un'indagine IBM ha rilevato che ci vogliono in media 212 giorni per rilevare una violazione e 75 giorni per contenerla. Questo comporta molto lavoro per il personale IT e di sicurezza, sottraendolo ai progetti principali.
Responsabile della conformità
Il responsabile della conformità è sottoposto a enormi pressioni dopo una violazione dei dati. Il suo compito è quello di garantire il rispetto delle normative dopo la violazione. Ciò significa trattare con il supervisore della normativa per notificare le metriche della violazione dei dati. A seconda dell'impatto della violazione e della legge, ciò può avvenire entro 24 ore dalla scoperta della violazione.
I responsabili della compliance devono anche gestire le ricadute di una violazione, tra cui le notifiche ai clienti e alla stampa. Infine, sarà compito del responsabile della conformità collaborare con il CISO e altri soggetti per correggere la situazione che ha causato la violazione dei dati e impedire che si ripeta.
Marketing e PR
Il marketing può sembrare del tutto estraneo alla risposta a una violazione dei dati, ma il marketing e le pubbliche relazioni devono svolgere un ruolo sempre più importante. L'imbarazzo e l'esposizione dannosa del marchio sono spesso una conseguenza di una violazione dei dati.
Un rapporto sui costi finanziari di un attacco informatico ha rilevato che il 71% dei CMO è convinto che il costo maggiore di un incidente di sicurezza sia la perdita di valore del marchio. Inoltre, un sondaggio di Okta e YouGov ha rilevato che il 39% dei dipendenti britannici ha perso la fiducia in un'azienda che ha utilizzato in modo improprio i loro dati.
La fiducia viene meno quando si verifica una violazione dei dati. Ciò influisce materialmente sul marketing e sulle pubbliche relazioni di un'azienda. Gli addetti al marketing di un'organizzazione devono lavorare per risolvere l'impatto di una violazione dei dati sul marchio dell'organizzazione.
Dipendenti
La responsabilità diretta della prevenzione e delle conseguenze di una violazione dei dati può ricadere sul senior management. Tuttavia, anche i dipendenti sono coinvolti: dal calo del morale all'aumento dei livelli di stress, fino alle azioni disciplinari per l'esposizione accidentale dei dati, i dipendenti fanno parte del più ampio spettro di responsabilità di una violazione dei dati. Pertanto, i dipendenti devono essere coinvolti in una cultura generale della sicurezza che li responsabilizzi.
Conseguenze della violazione dei dati nella vita reale
L'impatto di una violazione dei dati non comprende solo le conseguenze finanziarie; i dipendenti vengono colpiti materialmente, spesso perdono il lavoro e alcuni possono addirittura finire in prigione. Ad esempio, un rapporto del 2018 di Shred-IT ha rilevato che il 30% delle aziende britanniche che hanno subito una violazione dei dati ha risolto il contratto di un dipendente per negligenza.
Alcuni esempi di recenti violazioni di dati che dimostrano l'impatto di vasta portata su un'organizzazione e su chi finisce per pagare il conto, sono i seguenti:
Uber: la società di autonoleggio ha subito una violazione dei dati nel 2016 che ha interessato 57 milioni di clienti. Tuttavia, il responsabile della sicurezza (Joe Sullivan) di Uber non ha rivelato la violazione. Al contrario, il responsabile della sicurezza avrebbe detto al suo staff di mantenere la conoscenza della violazione "strettamente controllata" e di presentare l'incidente come parte di un programma di bug bounty. Sullivan è arrivato persino a pagare agli hacker 100.000 dollari come parte del "bug bounty"; gli hacker hanno accettato di firmare accordi di non divulgazione come parte dell'accordo.
Il risultato di tutti questi sotterfugi ha devastato sia Uber che il responsabile della sicurezza. Sullivan è stato recentemente dichiarato colpevole di non aver rivelato la violazione e rischia un massimo di cinque anni di carcere per l'ostruzione e tre anni per l'accusa di cattiva condotta. Per quanto riguarda Uber, la società è stata multata per 148 milioni di dollari (130 milioni di sterline) nel 2018.
DWP (Department for Work and Pensions): nel 2010, 26 dipendenti sono stati licenziati per aver "curiosato tra i dati personali". I dati erano conservati nel sistema informativo per i clienti del Dipartimento per il lavoro e le pensioni (DWP). I problemi sono stati imputati a un "regime di sicurezza lassista" e a procedure inadeguate per dare seguito a notifiche e avvisi.
Singhealth: nel 2018 una violazione dei dati presso Singhealth ha interessato 1,5 milioni di pazienti. Di conseguenza, due dipendenti, il responsabile del team Citrix e il responsabile della risposta agli incidenti di sicurezza, sono stati ritenuti negligenti e di conseguenza licenziati. Inoltre, sono state comminate multe personali a cinque dirigenti di alto livello, tra cui l'amministratore delegato.
Come evitare le conseguenze personali di una violazione dei dati
I dati sono affare di tutti e la loro sicurezza dovrebbe essere parte integrante della vostra strategia di sicurezza. Ciò è possibile se l'azienda si impegna a sviluppare una cultura della sicurezza che permea l'intera organizzazione. Come mostrato qui, tutti condividiamo le conseguenze di una violazione dei dati.
Tuttavia, queste conseguenze possono essere controllate creando una cultura della sicurezza in cui tutti i membri dell'organizzazione vengano istruiti su come operano i criminali informatici, sul loro ruolo nel mantenere i dati al sicuro e su come individuare i tentativi di phishing.