L’esistenza di un piano di gestione delle violazioni dei dati garantisce la presenza del personale e delle procedure giuste per affrontare efficacemente una minaccia.

Immagina il panico quando viene rilevata una massiccia violazione di dati, magari in corso da mesi. Nel 2017, Equifax ha avvisato il mondo del furto di diversi milioni di dati che erano sotto la sua sorveglianza.

Il furto è stato causato da una vulnerabilità di Apache Struts, un framework di sviluppo molto utilizzato. Equifax era a conoscenza di questa vulnerabilità, ma il dipendente incaricato di correggerla non l’ha fatto. Ne è seguita una serie di sfortunati eventi, tra cui l’incapacità dei patch scanner di individuare altre vulnerabilità multiple, aggravata da diverse mancanze dell’operatore umano.

Da allora Equifax ha speso circa 1,4 miliardi di dollari (1 miliardo di sterline) per migliorare la propria sicurezza. L’azienda è stata inoltre multata per mezzo milione di sterline dall’Information Commissioner’s Office (ICO) del Regno Unito e l’ex-CIO di Equifax è stato condannato a quattro mesi di carcere per aver sfruttato la violazione per scopi personali. La violazione dei dati di Equifax è stata un vero e proprio incubo per le aziende.

“Camminando per un miglio nelle scarpe di qualcun altro” possiamo capire come ogni parte di un’organizzazione gestisca efficacemente la gestione delle violazioni dei dati. Riflettendo sul modo in cui ogni reparto può contribuire a ridurre la catena di eventi che portano a una violazione dei dati, l’esposizione ai dati può essere gestita in modo più efficace.

Il come e il perché della gestione delle violazioni di dati

Le violazioni dei dati riguardano tutti i membri di un’organizzazione. Allo stesso modo, tutti possono contribuire a prevenire o a ridurre al minimo l’impatto di una violazione dei dati. Di seguito ti illustriamo le diverse responsabilità di cinque aree chiave di un’organizzazione e il tipo di responsabilità che ciascuna di esse ha nella gestione di una violazione dei dati.

Il team per gli incidenti di sicurezza

La gestione e la prevenzione delle violazioni di dati è il pilastro del team che si occupa di incidenti di sicurezza. Questo team è stato chiamato sempre più spesso in causa a causa dell’aumento del numero e dell’intensità delle violazioni di dati. Il loro ruolo è fondamentale per la gestione di una violazione dei dati e il team si affida a un processo solido che lo aiuti in questo compito. Il team di sicurezza deve poter ricorrere a un piano di risposta agli incidenti e a un piano di disaster recovery per contenere la violazione. Questi piani aiutano ad informare le azioni da intraprendere quando si verifica una violazione.

Le fasi tipiche del contenimento e della gestione delle violazioni comprendono:

Conferma la violazione

Può sembrare una fase ovvia, ma conferma che la violazione è avvenuta e che riguarda dati riservati o sensibili. I dati raccolti durante l’analisi della violazione saranno utilizzati se la violazione è abbastanza grave da dover essere notificata a un’autorità di vigilanza. Le informazioni che dovrebbero essere raccolte e documentate comprendono:

  • Come è stata rilevata la violazione

  • Dove si è verificato

  • Chi è interessato (includere i fornitori dell’ecosistema)

  • Chi ha segnalato la violazione

  • La data o le date in cui si sono verificate le violazioni

  • Il livello di rischio che la violazione comporta per l’organizzazione, i clienti, ecc.

  • La violazione è ora completamente contenuta?

Come si è verificata la violazione?

Un’analisi della violazione non è necessaria solo per motivi di conformità, ma può anche aiutare a ridurre l’esposizione futura dei dati. Le dinamiche delle violazioni sono varie. I dati possono essere esposti da una serie di meccanismi sia accidentali che dolosi. Identifica questi meccanismi: si è trattato di un’esposizione accidentale di un dipendente o di un hacking doloso? Comprendere i vettori e le tattiche utilizzate può aiutare ad alleviare l’esposizione e a mitigare l’attacco.

Il tipo di dati interessati

Essere in grado di identificare il livello di rischio dei dati violati è fondamentale sia per la notifica della violazione che per la conformità, oltre che per comprendere l’impatto complessivo sull’azienda. Documenta il tipo e il livello di rischio dei dati violati. Un’organizzazione dovrebbe aver già sviluppato un sistema di classificazione basato su uno standard come l’ISO 27001. Questo standard stabilisce quattro categorie di dati:

  1. Riservato (solo i dirigenti hanno accesso)

  2. Limitato (la maggior parte dei dipendenti ha accesso)

  3. Interno (tutti i dipendenti hanno accesso)

  4. Informazioni pubbliche (tutti hanno accesso)

Contenimento e recupero

Una volta individuata una violazione, è fondamentale contenerla il più rapidamente possibile. Le azioni intraprese durante l’analisi della violazione permetteranno di creare una strategia di contenimento. Le violazioni che coinvolgono i dipendenti possono richiedere una revisione della formazione sulla sicurezza. Le violazioni che coinvolgono hacker esterni malintenzionati richiederanno un’ulteriore analisi dei sistemi e delle misure di mitigazione. I piani di recupero devono essere messi in atto per ridurre al minimo l’impatto della violazione.

Legale e conformità

Tutte le prove documentali raccolte sulla violazione vengono utilizzate dai dipartimenti legali e di conformità per gestire le conseguenze della violazione. I team legali e di conformità decideranno se la violazione rientra nell’ambito di un requisito di notifica della violazione; ad esempio, ai sensi della Sezione 67 del Data Protection Act del 2018 (DPA 2108) del Regno Unito, la notifica della violazione dei dati deve essere effettuata all’ICO entro 72 ore dal momento in cui l’azienda viene a conoscenza della violazione. Tutte le prove documentate della violazione, il dove, il perché e il modo in cui è stata attenuata, raccolte dal team di sicurezza, saranno utilizzate in questa comunicazione. Potrebbe anche essere necessario divulgare la violazione a tutti coloro che ne sono stati colpiti. Ciò potrebbe richiedere una lettera di divulgazione pubblica completa pubblicata sul sito web dell’azienda.

Regole di notifica

La chiave per la gestione legale di una violazione dei dati è prendere una decisione informata su se/quando notificare la violazione all’autorità di vigilanza. Domande come se ci sia un imperativo normativo per segnalare la violazione possono essere fatte solo da personale qualificato e competente. Questa decisione può richiedere che la violazione venga resa pubblica: ciò ha ovvie ripercussioni a lungo termine sulla reputazione e probabilmente coinvolgerà il reparto marketing per ridurre al minimo l’impatto sul marchio. Ecco alcuni esempi di avvisi pubblici di violazione:

Violazione di Equifax

Violazione di CapitalOne

Violazione di Twitter

Le regole di notifica delle violazioni variano a seconda delle normative. Ad esempio, secondo il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, la notifica della violazione deve essere effettuata entro 72 ore dall’identificazione della violazione. Tuttavia, secondo il Regolamento sulla Privacy e le Comunicazioni Elettroniche (PECR, regolamento che si applica ai fornitori di servizi internet e di telecomunicazione), una violazione dei dati personali deve essere segnalata all’ICO entro 24 ore dal rilevamento.

Il personale

Rendendo il personale parte del processo di gestione delle violazioni, esso diventa una risorsa in prima linea nella lotta contro gli attacchi informatici. Il personale e la sicurezza coprono un ampio spettro di potenziali vulnerabilità, dall’esposizione accidentale dei dati al phishing fino alla collusione con hacker esterni.

Secondo il Data Breach Investigation Report 2020 (DBIR) di Verizon, circa il 17% delle violazioni di dati può essere ricondotto a semplici errori. Ad esempio, la condivisione delle password da parte dei dipendenti o il loro riutilizzo in più applicazioni è una pratica di sicurezza scorretta.

Il phishing è ancora l’arma preferita dai criminali informatici; i phisher amano imitare marchi come Microsoft per indurre gli utenti a consegnare le credenziali aziendali. La formazione sulla sicurezza insegna ai dipendenti i molti modi positivi in cui possono contribuire a mantenere una buona posizione di sicurezza aziendale.

In termini di gestione delle violazioni, la consapevolezza del personale deve estendersi alla comprensione delle proprie responsabilità nell’ambito delle varie normative, come ad esempio garantire che i dati dei clienti siano rispettati e utilizzati entro i confini della legislazione come il DPA 2018 e il GDPR. Comprendendo i casi in cui potrebbe verificarsi una violazione e le responsabilità derivanti dalle varie normative, un’organizzazione può cooptare il personale nel processo di gestione delle violazioni.

È importante, tuttavia, formare il personale al livello adeguato. Alcuni dipendenti, come quelli tecnici, potrebbero aver bisogno di una formazione specialistica sulla sicurezza e/o di una certificazione.

I nuovi assunti devono essere inseriti nei programmi di formazione sulla sicurezza dell’organizzazione fin dal primo giorno. Esami regolari della formazione del personale in materia di sicurezza in aree quali:

  • Phishing

  • Igiene della sicurezza

  • Consapevolezza della responsabilità della sicurezza dei dati

…dovrebbe essere continuo per rimanere efficace.

La formazione sulla sicurezza dovrebbe essere incorporata nella politica di sicurezza aziendale come parte del processo di gestione delle violazioni dei dati.

Fornitori di terze parti

Gli ecosistemi di fornitori possono essere complessi e possono coinvolgere anche le quarte e le quinte parti. Un recente rapporto di Accenture, “State of Cyber Resilience 2020“, ha rilevato che il 40% delle violazioni della sicurezza inizia con attacchi indiretti a livello di supply chain. La gestione del rischio dei fornitori fa parte della gestione efficace di una violazione dei dati. Le violazioni di dati legate ai fornitori sono una considerazione a doppio senso. Oltre a eseguire un’analisi delle vulnerabilità dei collegamenti con i fornitori per mitigare gli attacchi informatici, quando si verifica una violazione è necessario analizzare l’ecosistema dei fornitori per verificare se la violazione ha un impatto sul fornitore.

Il consiglio

Un rapporto del governo britannico “Cyber Security Breaches Survey 2021” ha rilevato che il 77% delle aziende ritiene che la sicurezza informatica sia un’alta priorità per i propri direttori o senior manager. A seguito dell’alto profilo delle violazioni di dati, un numero maggiore di consigli di amministrazione include esperti di sicurezza. Quando si verifica una violazione dei dati, un consiglio di amministrazione preparato può supportare il resto dell’organizzazione nella gestione della violazione, assicurando il rispetto dei requisiti normativi e garantendo la disponibilità di un budget per la gestione della violazione e la mitigazione di ulteriori attacchi.

I dipendenti sanno cosa fare in caso di violazione dei dati?

Mettere in atto misure di gestione delle violazioni dei dati è un compito che riguarda l’intera azienda. Uno dei punti chiave per una gestione efficace delle violazioni dei dati è la formazione del personale. La rilevanza è fondamentale per garantire che la gestione degli incidenti funzioni per la tua organizzazione. Ogni organizzazione deve sviluppare un approccio unico e pertinente alla segnalazione e alla gestione di una violazione della sicurezza.

L’approfondimento per ottimizzare la consapevolezza inizia a livello di persone e processi. Ogni aspetto, dal più piccolo dettaglio al quadro generale, deve essere sufficientemente approfondito per garantire che la tua politica di risposta agli incidenti sia solida e comprensibile per tutto il personale. Questo deve includere:

Comunicazioni: Dai numeri di telefono utilizzati all’indirizzo e-mail o a qualsiasi altro sistema utilizzato per segnalare una violazione.

Ruoli e responsabilità: Evidenzia i responsabili degli incidenti e le loro responsabilità.

Azioni: Chi fa cosa, quando e come svolge il proprio ruolo nella gestione di una violazione dei dati.

Rimedio: Come risolvere la violazione e le lezioni apprese, compreso l’aggiornamento della formazione sulla sicurezza.

Nelle grandi aziende multinazionali queste linee di comunicazione devono riflettersi su tutta l’organizzazione, riunendo i dipartimenti e gli uffici aziendali.

Tutti devono essere coinvolti in questo piano, dai dipendenti ai dirigenti fino ai membri del consiglio di amministrazione.

Consapevolezza della sicurezza informatica per principianti