Violazione dei dati: Chi porta il bidone?
Pubblicato su: 15 Nov 2022
Ultima modifica il: 24 Lug 2025
Le statistiche sulle violazioni dei dati offrono una lettura sobria: se leggi regolarmente questo blog, avrai notato che le violazioni dei dati sono comuni e spesso iniziano con un attacco di social engineering aumentato dal phishing.
Nel 2021, Cisco ha registrato che il 90% delle violazioni di dati inizia con il phishing, e la maggior parte di queste violazioni si basa sullo spear-phishing mirato. Un attacco informatico o anche un incidente che porta alla perdita di dati ha molte conseguenze. Ma cosa succede dopo una violazione dei dati? Di solito qualcuno deve assumersi la responsabilità di aver lasciato la porta aperta ai criminali informatici, quindi chi è il responsabile quando i dati vengono violati?
Le persone coinvolte in una violazione di dati
Una violazione dei dati ha un impatto di vasta portata sulle persone di un’organizzazione. Un attacco informatico tocca il cuore di un’azienda, dai vertici ai dipendenti:
Il CEO
L’amministratore delegato svolge un ruolo fondamentale nel modo in cui la sicurezza informatica viene considerata all’interno dell’organizzazione. La cultura della sicurezza parte dall’alto e una violazione dei dati riflette una falla in questa cultura. Anche gli amministratori delegati sono nel mirino dei criminali informatici, con truffe quali Frode del CEO e Business Email Compromise (CEO) che utilizza l’autorità di un CEO per commettere una frode.
L‘analista Gartner riassume la situazione prevedendo che, entro il 2024, il 75% degli amministratori delegati potrebbe essere personalmente responsabile per le violazioni dei dati ciberfisici se la propria azienda non si concentra o non investe a sufficienza nella sicurezza informatica. Quando si verifica una violazione dei dati, un CEO deve essere pronto a gestire la situazione e a mitigarne l’impatto sull’azienda.
Il responsabile della sicurezza o il CISO (Chief Information Security Officer)
Il responsabile della sicurezza è l’ovvio primo punto di riferimento quando qualcosa legato alla sicurezza va storto. In un Secondo un sondaggio di Tripwire, il 21% dei responsabili delle decisioni IT attribuirebbe la colpa di una violazione della sicurezza al CISO. Questo non sorprende, dato che il lavoro di un CISO consiste nel prendere decisioni sulle migliori pratiche di sicurezza e nel supervisionare la loro applicazione.
Quindi, quando si verifica una violazione dei dati, il CISO o il responsabile della sicurezza sarà quello che si troverà sul posto a raccogliere i pezzi insieme al suo team.
Il team di sicurezza o IT
I membri dei team IT o di sicurezza sono all’avanguardia in caso di violazione dei dati insieme ai loro manager. Il loro compito è quello di identificare e rispondere a una violazione dei dati. Questo viene fatto internamente o da un fornitore di servizi di sicurezza gestiti da terzi. Tuttavia, il tempo per identificare una violazione può essere lungo.
Ad esempio, un L’indagine di IBM ha rilevato che ci vogliono in media 212 giorni per rilevare una violazione e 75 giorni per contenerla. Questo comporta molto lavoro per il personale IT e di sicurezza, sottraendolo al lavoro sui progetti principali.
Responsabile della conformità
Il responsabile della conformità è sottoposto a enormi pressioni dopo una violazione dei dati. Il suo compito è quello di garantire il rispetto delle norme dopo la violazione. Ciò significa che deve trattare con il supervisore della normativa per notificare le metriche della violazione dei dati. A seconda dell’impatto della violazione e della legge, ciò può avvenire entro 24 ore dalla scoperta della violazione.
I responsabili della compliance devono anche gestire le conseguenze di una violazione, comprese le notifiche ai clienti e alla stampa. Infine, sarà compito del responsabile della compliance collaborare con il CISO e altri soggetti per correggere la situazione che ha causato la violazione dei dati ed evitare che si ripeta.
Marketing e PR
Il marketing può sembrare del tutto estraneo alla risposta a una violazione dei dati, ma il marketing e le pubbliche relazioni devono svolgere un ruolo sempre più importante. L’imbarazzo e l’esposizione dannosa del marchio sono spesso una conseguenza di una violazione dei dati.
Un rapporto sui costi finanziari di un attacco informatico ha rilevato che il 71% dei CMO è convinto che il costo maggiore di un incidente di sicurezza sia la perdita di valore del marchio. Inoltre, un sondaggio di Okta e YouGov ha rilevato che il 39% dei dipendenti britannici ha perso la fiducia in un’azienda che ha utilizzato in modo improprio i loro dati.
La fiducia viene meno quando si verifica una violazione dei dati. Questo si ripercuote materialmente sul marketing e sulle pubbliche relazioni di un’azienda. Gli addetti al marketing di un’organizzazione devono lavorare per risolvere l’impatto di una violazione dei dati sul marchio dell’azienda.
Dipendenti
La responsabilità diretta della prevenzione e delle conseguenze di una violazione dei dati può ricadere sui dirigenti. Tuttavia, anche i dipendenti sono coinvolti: dal calo del morale all’aumento dei livelli di stress, fino alle azioni disciplinari per l’esposizione accidentale dei dati, i dipendenti fanno parte del più ampio spettro di responsabilità di una violazione dei dati. Pertanto, i dipendenti devono essere coinvolti in una cultura generale della sicurezza che li responsabilizzi.
Conseguenze della violazione dei dati nella vita reale
L’impatto di una violazione dei dati non si limita alle conseguenze finanziarie: i dipendenti ne risentono materialmente, spesso perdono il lavoro e alcuni possono addirittura finire in prigione. Ad esempio, una Il rapporto del 2018 di Shred-IT ha rilevato che il 30% delle aziende del Regno Unito che hanno subito una violazione dei dati ha risolto il contratto di un dipendente per negligenza.
Alcuni esempi di recenti violazioni di dati che dimostrano l’impatto di vasta portata su un’organizzazione e su chi finisce per subirne le conseguenze, includono:
Uber: la società di noleggio auto ha subito una violazione dei dati nel 2016 che ha interessato 57 milioni di clienti. Tuttavia, il responsabile della sicurezza (Joe Sullivan) di Uber non ha rivelato la violazione. Al contrario, il responsabile della sicurezza avrebbe detto al suo staff di tenere la conoscenza della violazione “strettamente controllata” e di presentare l’incidente come parte di un programma di bug bounty. Sullivan si è persino spinto a pagare gli hacker 100.000 dollari come parte del “bug bounty”, con gli hacker che accettano di firmare accordi di non divulgazione come parte dell’accordo.
Il risultato di tutti questi sotterfugi ha devastato sia Uber che il responsabile della sicurezza. Sullivan è stato recentemente è stato giudicato colpevole di non aver rivelato la violazione e rischia un massimo di cinque anni di carcere per ostruzione e tre anni per l’accusa di cattiva condotta. Per quanto riguarda Uber, l’azienda è stata multato per 148 milioni di dollari (130 milioni di sterline) nel 2018.
DWP (Department for Work and Pensions): nel 2010, 26 dipendenti sono stati licenziati per aver “curiosato tra i dati personali”. I dati erano conservati nel Sistema Informativo Clienti (CIS) del Dipartimento per il Lavoro e le Pensioni (DWP). I problemi sono stati imputati a un “regime di sicurezza lassista” e a procedure inadeguate per dare seguito a notifiche e avvisi.
Singhealth: nel 2018 una violazione dei dati presso Singhealth ha interessato 1,5 milioni di pazienti. Di conseguenza, due dipendenti, il responsabile del team Citrix e il responsabile della risposta agli incidenti di sicurezza, sono stati ritenuti negligenti e sono stati licenziati. Inoltre, sono state comminate multe personali a cinque dirigenti di alto livello, tra cui l’amministratore delegato.
Come evitare le conseguenze personali di una violazione dei dati personali
I dati sono affare di tutti e la loro sicurezza dovrebbe essere parte integrante della tua strategia di sicurezza. Ciò è possibile se un’azienda si impegna a sviluppare una cultura della sicurezza che permea l’intera organizzazione. Come mostrato qui, tutti condividiamo le conseguenze di una violazione dei dati.
Tuttavia, queste conseguenze possono essere controllate creando una cultura della sicurezza in cui tutti i membri dell’organizzazione vengano istruiti su come operano i criminali informatici, sul loro ruolo nel mantenere i dati al sicuro e su come individuare i tentativi di phishing.
