[email protected] +44 (0)20 7917 9527 Accesso
Prenota la mia consulenza gratuita

Prodotti

Esplorate le nostre soluzioni personalizzate di formazione sulla consapevolezza della sicurezza e di gestione del rischio umano - Fornite al vostro team le competenze essenziali per difendersi dalle moderne minacce informatiche. La nostra piattaforma offre tutto, dalle simulazioni di phishing alla gestione completa delle policy, consentendo alla vostra forza lavoro di migliorare la sicurezza e garantire la conformità in modo efficace.

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Contenuto eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Gestione della conformità

Semplificare la gestione dei criteri, della privacy e degli incidenti per una conformità totale

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Blog sulla sicurezza informatica Sala notizie Webcast
Panoramica delle risorse
Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Modello di maturità comportamentale in cybersecurity

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Carriere

Unitevi a noi e rendete personale la sicurezza informatica

Gruppo dirigente

Il team di leadership di MetaCompliance

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Contattateci Accesso
Menu
Consultazione gratuita
Menu principale
Prodotti Industrie Risorse Informazioni su Contatta
Menu principale

Prodotti - Panoramica

Automazione della consapevolezza della sicurezza Contenuto eLearning Simulazione di phishing Gestione della conformità
Menu principale

Industrie - Panoramica

Servizi finanziari Governi Imprese Lavoratori a distanza Settore dell'istruzione Lavoratori del settore sanitario Industria tecnologica Conformità NIS2
Menu principale

Risorse - Panoramica

Blog sulla sicurezza informatica
Sala stampa
Webcasts
Sensibilizzazione alla sicurezza informatica For Dummies Guida Dummies alla sicurezza informatica Elearning Guida definitiva al phishing Poster di sensibilizzazione gratuiti Politica anti-phishing Casi di studio Terminologia sulla sicurezza informatica dalla A alla Z Modello di maturità comportamentale per la sicurezza informatica Materiale gratuito
Menu principale

Informazioni - Panoramica

Perché scegliere noi Il team di leadership Carriera Specialisti del coinvolgimento dei dipendenti
Menu principale

Contatto - Panoramica

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Consapevolezza della sicurezza informatica
Phishing e Ransomware
eLearning
Gestione delle politiche
Conformità
Privacy, GDPR e CCPA
GRC

I passi chiave per un'efficace gestione di una violazione dati

Gestione della violazione dei dati

sull'autore

Immagine di Luke Noonan

Luke Noonan

Luke è laureato in legge e lavora con le organizzazioni da oltre un decennio in progetti tecnologici e di trasformazione. Da 7 anni collabora con MetaCompliance per aiutare i clienti aziendali a implementare i loro programmi di consapevolezza informatica a livello globale.

Condividi questo post

Avere un piano di gestione della violazione dei dati assicura che il personale e le procedure giuste siano in atto per affrontare efficacemente una minaccia.

Immaginate il panico quando viene rilevata una massiccia violazione dei dati, magari in corso da mesi. Nel 2017, Equifax ha avvertito il mondo del furto di diversi milioni di record di dati che si trovavano sotto il suo controllo.

Il furto è stato avviato da una vulnerabilità in Apache Struts, un framework di sviluppo ampiamente utilizzato. Equifax sapeva della vulnerabilità, ma il dipendente incaricato di applicare la patch non l'ha fatto. Ne è seguita una serie di sfortunati eventi, tra cui un fallimento degli scanner di patch per individuare ulteriori vulnerabilità multiple, esacerbate da diversi fallimenti degli operatori umani.

Equifax da allora ha speso circa 1,4 miliardi di dollari (1 miliardo di sterline) per aggiornare la sua sicurezza. L'azienda è stata anche multata per mezzo milione di sterline dall'Information Commissioner's Office (ICO) del Regno Unito, e l'ex CIO di Equifax è stato condannato a quattro mesi di prigione per aver usato la violazione per guadagno personale. La violazione dei dati di Equifax è stata la materia degli incubi aziendali.

Camminando "un miglio nei panni di qualcun altro" possiamo capire come ogni parte di un'organizzazione gestisce efficacemente la gestione della violazione dei dati. Riflettendo su come ogni dipartimento può aiutare a de-escalation la catena di eventi che portano a una violazione dei dati, l'esposizione dei dati può essere gestita più efficacemente.

Il come e il perché della gestione della violazione dei dati

Le violazioni dei dati colpiscono tutti in un'organizzazione. Allo stesso modo, tutti possono contribuire a prevenire o minimizzare l'impatto di una violazione dei dati. Di seguito, uno sguardo alle diverse responsabilità di cinque aree chiave in un'organizzazione e il tipo di responsabilità che ognuno ha nella gestione di una violazione dei dati.

Il team degli incidenti di sicurezza

La gestione e la prevenzione delle violazioni dei dati è il pilastro del team degli incidenti di sicurezza. Questo team è stato sempre più chiamato in causa con l'aumento del numero e dell'intensità delle violazioni dei dati. Il loro ruolo è centrale nella gestione di una violazione dei dati e il team si affida a un processo robusto per aiutarli in questo compito. Il team di sicurezza dovrebbe essere in grado di rivolgersi a un piano di risposta agli incidenti e a un piano di disaster recovery per aiutarli a contenere la violazione. Questi piani aiutano a informare le azioni una volta che si verifica una violazione.

Le fasi tipiche del contenimento e della gestione delle violazioni includono:

Confermare la violazione

Può sembrare un passo ovvio, ma confermate che la violazione è avvenuta e se impatta su dati riservati o sensibili. I dati raccolti durante l'analisi della violazione saranno chiamati in causa se la violazione è abbastanza grave da notificare un'autorità di vigilanza. Le informazioni che dovrebbero essere raccolte e documentate includono:

  • Come è stata rilevata la violazione
  • Dove si è verificato
  • Chi è impattato (includere tutti i fornitori dell'ecosistema)
  • Chi ha segnalato la violazione
  • La data o le date in cui si sono verificate le violazioni
  • Quale livello di rischio la violazione pone all'organizzazione/clienti, ecc.
  • La violazione è ora completamente contenuta?

Come è avvenuta la violazione?

Un'analisi della violazione non è solo necessaria per motivi di conformità, ma può anche aiutare a mitigare l'esposizione futura dei dati. Le dinamiche di violazione sono varie. I dati possono essere esposti da una varietà di meccanismi sia accidentali che malevoli. Identificare questi meccanismi: si è trattato di un'esposizione accidentale di un dipendente o di un hacking malevolo? Comprendere i vettori e le tattiche utilizzate può aiutare ad alleviare l'esposizione e mitigare l'attacco.

Il tipo di dati interessati

Essere in grado di identificare il livello di rischio dei dati colpiti è fondamentale sia per la notifica della violazione e la conformità, sia per capire l'impatto complessivo sul business. Documentare il tipo e il livello di rischio dei dati violati. Un'organizzazione dovrebbe già aver sviluppato un sistema di classificazione basato su uno standard come ISO 27001. Questo standard stabilisce quattro categorie di dati:

  1. Confidenziale (solo il senior management ha accesso)
  2. Limitato (la maggior parte dei dipendenti ha accesso)
  3. Interno (tutti i dipendenti hanno accesso)
  4. Informazioni pubbliche (tutti hanno accesso)

Contenimento e recupero

Una volta che una violazione è stata rilevata, è vitale contenere la violazione il più velocemente possibile. Le azioni intraprese durante l'analisi della violazione permetteranno di creare una strategia di contenimento. Le violazioni che coinvolgono i dipendenti possono richiedere una revisione della formazione sulla consapevolezza della sicurezza. Le violazioni che coinvolgono hacker esterni malintenzionati avranno bisogno di un'ulteriore esplorazione dei sistemi e delle misure mitigative. I piani di recupero devono essere messi in atto per minimizzare l'impatto della violazione.

Legale e conformità

Tutte le prove documentali raccolte sulla violazione vengono utilizzate dai dipartimenti legali e di conformità per affrontare le conseguenze della violazione. I team legali e di conformità decideranno se la violazione rientra nell'ambito di un requisito di notifica della violazione; ad esempio, ai sensi della sezione 67 del Data Protection Act del Regno Unito del 2018 (DPA 2108), una notifica di violazione dei dati deve essere fatta all'ICO entro 72 ore da quando l'azienda è venuta a conoscenza della violazione. Tutte le prove documentate sulla violazione, il dove, il perché e come è stata mitigata, raccolte dal team di sicurezza, saranno utilizzate in questa divulgazione. Ci può anche essere un requisito per rivelare la violazione a chiunque sia stato colpito. Questo può richiedere una lettera di divulgazione pubblica completa pubblicata sul sito web della società.

Regole di notifica

La chiave per la gestione legale di una violazione dei dati è prendere una decisione informata su se/quando notificare la violazione all'autorità di vigilanza. Domande come, se c'è un imperativo normativo per segnalare la violazione, possono essere fatte solo da personale qualificato e competente. Questa decisione può richiedere che la violazione sia resa pubblica: questo ha ovvi effetti di reputazione a lungo termine e probabilmente coinvolgerà il dipartimento di marketing per minimizzare l'impatto del marchio. Ecco alcuni esempi di avvisi pubblici di violazione:

Violazione di Equifax

Violazione di CapitalOne

Violazione di Twitter

Le regole di notifica della violazione variano a seconda delle diverse normative. Per esempio, secondo il Regolamento generale sulla protezione dei dati dell'UE (GDPR), la notifica della violazione deve essere fatta entro 72 ore dall'identificazione di una violazione. Tuttavia, secondo il Privacy and Electronic Communications Regulations (PECR, regolamento che si applica ai fornitori di servizi internet e di telecomunicazione) una violazione dei dati personali deve essere segnalata all'ICO entro e non oltre 24 ore dal rilevamento.

Il personale

Rendendo il personale parte del processo di gestione delle violazioni, esso diventa una risorsa in prima linea nella lotta contro gli attacchi informatici. Il personale e la sicurezza coprono un ampio spettro di potenziali vulnerabilità, dall'esposizione accidentale dei dati al phishing alla collusione con hacker esterni.

Secondo il Data Breach Investigation Report 2020 (DBIR) di Verizon, circa il 17% delle violazioni di dati può essere ricondotto semplicemente ad errori. Per esempio, i dipendenti che condividono le password o riutilizzano le password su più applicazioni sono pratiche di scarsa sicurezza.

Il phishing è ancora l'arma preferita dai criminali informatici; i phisher amano imitare marchi come Microsoft per indurre gli utenti a consegnare le credenziali aziendali. La formazione sulla consapevolezza della sicurezza insegna ai dipendenti i molti modi positivi in cui possono contribuire a mantenere una buona posizione di sicurezza aziendale.

In termini di gestione delle violazioni, la consapevolezza del personale deve estendersi alla comprensione delle loro responsabilità all'interno di vari regolamenti, come garantire che i dati dei clienti siano rispettati e utilizzati entro i confini di una legislazione come il DPA 2018 e il GDPR. Comprendendo dove potrebbe verificarsi una violazione, insieme alle responsabilità previste dai vari regolamenti pertinenti, un'organizzazione può cooptare il personale nel processo di gestione delle violazioni.

È importante, tuttavia, formare il personale al livello pertinente. Alcuni membri del personale, come gli impiegati tecnici, potrebbero aver bisogno di una formazione specialistica sulla sicurezza e/o di una certificazione.

Inuovi assunti devono essere inseriti nei programmi di formazione sullaconsapevolezza della sicurezza di un'organizzazione fin dal primo giorno. Revisioni regolari della formazione di consapevolezza della sicurezza del personale in aree come:

  • Phishing
  • Igiene della sicurezza
  • Consapevolezza della responsabilità della sicurezza dei dati

...dovrebbe essere continuo per rimanere efficace.

La formazione sulla consapevolezza della sicurezza dovrebbe essere incorporata nella politica di sicurezza aziendale come parte di un processo di gestione della violazione dei dati.

Fornitori di terze parti

Gli ecosistemi dei venditori possono essere complessi e possono coinvolgere le quarte e le quinte parti. Un recente rapporto di Accenture, "State of Cyber Resilience 2020", ha rilevato che il 40% delle violazioni della sicurezza inizia con attacchi indiretti a livello di catena di approvvigionamento. La gestione del rischio dei fornitori fa parte della gestione efficace di una violazione dei dati. Le violazioni dei dati legate ai fornitori sono una considerazione a doppio senso. Oltre ad eseguire un'analisi della vulnerabilità dei collegamenti del fornitore per mitigare gli attacchi informatici, quando si verifica una violazione, l'ecosistema del fornitore deve essere analizzato per vedere se la violazione ha un impatto sul fornitore.

Il consiglio

Un rapporto dell'UK Gov "Cyber Security Breaches Survey 2021" ha scoperto che il 77% delle imprese ritiene che la sicurezza informatica sia una priorità elevata per i loro direttori o senior manager. Come risultato dell'alto profilo delle violazioni dei dati, più consigli di amministrazione ora includono esperti di sicurezza. Quando si verifica una violazione dei dati, un consiglio istruito può sostenere il resto dell'organizzazione nella gestione della violazione, garantendo che i requisiti normativi siano soddisfatti, e assicurando che sia disponibile un budget per gestire la violazione e mitigare contro ulteriori attacchi.

I dipendenti sanno cosa fare quando c'è una violazione dei dati?

Mettere in atto misure di gestione della violazione dei dati è un intero compito aziendale. Una delle parti fondamentali per fornire un'efficace gestione delle violazioni dei dati è il modo in cui si forma il personale. La pertinenza è la chiave per garantire che la gestione degli incidenti funzioni per la vostra organizzazione. Ogni organizzazione deve sviluppare il proprio approccio pertinente e unico per segnalare e gestire una violazione della sicurezza.

Il drill down per ottimizzare la consapevolezza inizia a livello di persone e processi. Ogni aspetto, dal più piccolo dettaglio al quadro generale, deve essere abbastanza approfondito per garantire che la vostra politica di risposta agli incidenti sia solida e comprensibile per tutto il personale. Questo deve includere:

Comunicazioni: Dai numeri di telefono utilizzati all'indirizzo e-mail o qualsiasi altro sistema utilizzato per segnalare una violazione

Ruoli e responsabilità: Evidenziare i responsabili degli incidenti e le loro responsabilità

Azioni: Chi fa cosa e quando e come svolgono il loro ruolo nell'aiutare a gestire una violazione dei dati

Rimedio: Come risolvere la violazione e le lezioni apprese, compreso qualsiasi aggiornamento della formazione sulla consapevolezza della sicurezza

Nelle grandi aziende multinazionali queste linee di comunicazione devono riflettersi in tutta l'organizzazione, unendo i dipartimenti e gli uffici dell'azienda.

Tutti devono comprare questo piano, dai dipendenti ai manager ai membri del consiglio di amministrazione.

Cyber Security Awareness per Dummies

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti

Richiedi una demo

Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.

La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.

Richiedi una demo - Master

Richiedi una demo - Test della testata

  • Tutti i campi sono obbligatori. Si prega di utilizzare l'indirizzo e-mail aziendale.

  • Questo campo è per scopi di convalida e dovrebbe essere lasciato invariato.

Scoprite come manteniamo al sicuro i vostri dati: leggete la nostra informativa sulla privacy

Richiedi una demo

Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.

La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.

Scoprite come manteniamo al sicuro i vostri dati: leggete la nostra informativa sulla privacy.

Richiedi una demo

Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.

La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.

Scoprite come manteniamo al sicuro i vostri dati: leggete la nostra informativa sulla privacy.