MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

I passi chiave per un'efficace gestione della violazione dei dati

Gestione della violazione dei dati

sull'autore

Condividi su linkedin
Condividi su twitter
Condividi su facebook

Avere un piano di gestione della violazione dei dati assicura che il personale e le procedure giuste siano in atto per affrontare efficacemente una minaccia.

Immaginate il panico quando viene rilevata una massiccia violazione dei dati, magari in corso da mesi. Nel 2017, Equifax ha avvertito il mondo del furto di diversi milioni di record di dati che si trovavano sotto il suo controllo.

Il furto è stato avviato da una vulnerabilità in Apache Struts, un framework di sviluppo ampiamente utilizzato. Equifax sapeva della vulnerabilità, ma il dipendente incaricato di applicare la patch non l'ha fatto. Ne è seguita una serie di sfortunati eventi, tra cui un fallimento degli scanner di patch per individuare ulteriori vulnerabilità multiple, esacerbate da diversi fallimenti degli operatori umani.

Equifax da allora ha speso circa 1,4 miliardi di dollari (1 miliardo di sterline) per aggiornare la sua sicurezza. L'azienda è stata anche multata per mezzo milione di sterline dall'Information Commissioner's Office (ICO) del Regno Unito, e l'ex CIO di Equifax è stato condannato a quattro mesi di prigione per aver usato la violazione per guadagno personale. La violazione dei dati di Equifax è stata la materia degli incubi aziendali.

Camminando "un miglio nei panni di qualcun altro" possiamo capire come ogni parte di un'organizzazione gestisce efficacemente la gestione della violazione dei dati. Riflettendo su come ogni dipartimento può aiutare a de-escalation la catena di eventi che portano a una violazione dei dati, l'esposizione dei dati può essere gestita più efficacemente.

Il come e il perché della gestione della violazione dei dati

Le violazioni dei dati colpiscono tutti in un'organizzazione. Allo stesso modo, tutti possono contribuire a prevenire o minimizzare l'impatto di una violazione dei dati. Di seguito, uno sguardo alle diverse responsabilità di cinque aree chiave in un'organizzazione e il tipo di responsabilità che ognuno ha nella gestione di una violazione dei dati.

Il team degli incidenti di sicurezza

La gestione e la prevenzione delle violazioni dei dati è il pilastro del team degli incidenti di sicurezza. Questo team è stato sempre più chiamato in causa con l'aumento del numero e dell'intensità delle violazioni dei dati. Il loro ruolo è centrale nella gestione di una violazione dei dati e il team si affida a un processo robusto per aiutarli in questo compito. Il team di sicurezza dovrebbe essere in grado di rivolgersi a un piano di risposta agli incidenti e a un piano di disaster recovery per aiutarli a contenere la violazione. Questi piani aiutano a informare le azioni una volta che si verifica una violazione.

Le fasi tipiche del contenimento e della gestione delle violazioni includono:

Confermare la violazione

Può sembrare un passo ovvio, ma confermate che la violazione è avvenuta e se impatta su dati riservati o sensibili. I dati raccolti durante l'analisi della violazione saranno chiamati in causa se la violazione è abbastanza grave da notificare un'autorità di vigilanza. Le informazioni che dovrebbero essere raccolte e documentate includono:

  • Come è stata rilevata la violazione
  • Dove si è verificato
  • Chi è impattato (includere tutti i fornitori dell'ecosistema)
  • Chi ha segnalato la violazione
  • La data o le date in cui si sono verificate le violazioni
  • Quale livello di rischio la violazione pone all'organizzazione/clienti, ecc.
  • La violazione è ora completamente contenuta?

Come è avvenuta la violazione?

Un'analisi della violazione non è solo necessaria per motivi di conformità, ma può anche aiutare a mitigare l'esposizione futura dei dati. Le dinamiche di violazione sono varie. I dati possono essere esposti da una varietà di meccanismi sia accidentali che malevoli. Identificare questi meccanismi: si è trattato di un'esposizione accidentale di un dipendente o di un hacking malevolo? Comprendere i vettori e le tattiche utilizzate può aiutare ad alleviare l'esposizione e mitigare l'attacco.

Il tipo di dati interessati

Essere in grado di identificare il livello di rischio dei dati colpiti è fondamentale sia per la notifica della violazione e la conformità, sia per capire l'impatto complessivo sul business. Documentare il tipo e il livello di rischio dei dati violati. Un'organizzazione dovrebbe già aver sviluppato un sistema di classificazione basato su uno standard come ISO 27001. Questo standard stabilisce quattro categorie di dati:

  1. Confidenziale (solo il senior management ha accesso)
  2. Limitato (la maggior parte dei dipendenti ha accesso)
  3. Interno (tutti i dipendenti hanno accesso)
  4. Informazioni pubbliche (tutti hanno accesso)

Contenimento e recupero

Una volta che una violazione è stata rilevata, è vitale contenere la violazione il più velocemente possibile. Le azioni intraprese durante l'analisi della violazione permetteranno di creare una strategia di contenimento. Le violazioni che coinvolgono i dipendenti possono richiedere una revisione della formazione sulla consapevolezza della sicurezza. Le violazioni che coinvolgono hacker esterni malintenzionati avranno bisogno di un'ulteriore esplorazione dei sistemi e delle misure mitigative. I piani di recupero devono essere messi in atto per minimizzare l'impatto della violazione.

Legale e conformità

Tutte le prove documentali raccolte sulla violazione vengono utilizzate dai dipartimenti legali e di conformità per affrontare le conseguenze della violazione. I team legali e di conformità decideranno se la violazione rientra nell'ambito di un requisito di notifica della violazione; ad esempio, ai sensi della sezione 67 del Data Protection Act del Regno Unito del 2018 (DPA 2108), una notifica di violazione dei dati deve essere fatta all'ICO entro 72 ore da quando l'azienda è venuta a conoscenza della violazione. Tutte le prove documentate sulla violazione, il dove, il perché e come è stata mitigata, raccolte dal team di sicurezza, saranno utilizzate in questa divulgazione. Ci può anche essere un requisito per rivelare la violazione a chiunque sia stato colpito. Questo può richiedere una lettera di divulgazione pubblica completa pubblicata sul sito web della società.

Regole di notifica

La chiave per la gestione legale di una violazione dei dati è prendere una decisione informata su se/quando notificare la violazione all'autorità di vigilanza. Domande come, se c'è un imperativo normativo per segnalare la violazione, possono essere fatte solo da personale qualificato e competente. Questa decisione può richiedere che la violazione sia resa pubblica: questo ha ovvi effetti di reputazione a lungo termine e probabilmente coinvolgerà il dipartimento di marketing per minimizzare l'impatto del marchio. Ecco alcuni esempi di avvisi pubblici di violazione:

Violazione di Equifax

Violazione di CapitalOne

Violazione di Twitter

Violazione dell'energia del popolo

Le regole di notifica della violazione variano a seconda delle diverse normative. Per esempio, secondo il Regolamento generale sulla protezione dei dati dell'UE (GDPR), la notifica della violazione deve essere fatta entro 72 ore dall'identificazione di una violazione. Tuttavia, secondo il Privacy and Electronic Communications Regulations (PECR, regolamento che si applica ai fornitori di servizi internet e di telecomunicazione) una violazione dei dati personali deve essere segnalata all'ICO entro e non oltre 24 ore dal rilevamento.

Il personale

Rendendo il personale parte del processo di gestione delle violazioni, esso diventa una risorsa in prima linea nella lotta contro gli attacchi informatici. Il personale e la sicurezza coprono un ampio spettro di potenziali vulnerabilità, dall'esposizione accidentale dei dati al phishing alla collusione con hacker esterni.

Secondo il Data Breach Investigation Report 2020 (DBIR) di Verizon, circa il 17% delle violazioni di dati può essere ricondotto semplicemente ad errori. Per esempio, i dipendenti che condividono le password o riutilizzano le password su più applicazioni sono pratiche di scarsa sicurezza.

Il phishing è ancora l'arma preferita dai criminali informatici; i phisher amano imitare marchi come Microsoft per indurre gli utenti a consegnare le credenziali aziendali. La formazione sulla consapevolezza della sicurezza insegna ai dipendenti i molti modi positivi in cui possono contribuire a mantenere una buona posizione di sicurezza aziendale.

In termini di gestione delle violazioni, la consapevolezza del personale deve estendersi alla comprensione delle loro responsabilità all'interno di vari regolamenti, come garantire che i dati dei clienti siano rispettati e utilizzati entro i confini di una legislazione come il DPA 2018 e il GDPR. Comprendendo dove potrebbe verificarsi una violazione, insieme alle responsabilità previste dai vari regolamenti pertinenti, un'organizzazione può cooptare il personale nel processo di gestione delle violazioni.

È importante, tuttavia, formare il personale al livello pertinente. Alcuni membri del personale, come gli impiegati tecnici, potrebbero aver bisogno di una formazione specialistica sulla sicurezza e/o di una certificazione.

Inuovi assunti devono essere inseriti nei programmi di formazione sullaconsapevolezza della sicurezza di un'organizzazione fin dal primo giorno. Revisioni regolari della formazione di consapevolezza della sicurezza del personale in aree come:

  • Phishing
  • Igiene della sicurezza
  • Consapevolezza della responsabilità della sicurezza dei dati

...dovrebbe essere continuo per rimanere efficace.

La formazione sulla consapevolezza della sicurezza dovrebbe essere incorporata nella politica di sicurezza aziendale come parte di un processo di gestione della violazione dei dati.

Fornitori di terze parti

Gli ecosistemi dei venditori possono essere complessi e possono coinvolgere le quarte e le quinte parti. Un recente rapporto di Accenture, "State of Cyber Resilience 2020", ha rilevato che il 40% delle violazioni della sicurezza inizia con attacchi indiretti a livello di catena di approvvigionamento. La gestione del rischio dei fornitori fa parte della gestione efficace di una violazione dei dati. Le violazioni dei dati legate ai fornitori sono una considerazione a doppio senso. Oltre ad eseguire un'analisi della vulnerabilità dei collegamenti del fornitore per mitigare gli attacchi informatici, quando si verifica una violazione, l'ecosistema del fornitore deve essere analizzato per vedere se la violazione ha un impatto sul fornitore.

Il consiglio

Un rapporto dell'UK Gov "Cyber Security Breaches Survey 2021" ha scoperto che il 77% delle imprese ritiene che la sicurezza informatica sia una priorità elevata per i loro direttori o senior manager. Come risultato dell'alto profilo delle violazioni dei dati, più consigli di amministrazione ora includono esperti di sicurezza. Quando si verifica una violazione dei dati, un consiglio istruito può sostenere il resto dell'organizzazione nella gestione della violazione, garantendo che i requisiti normativi siano soddisfatti, e assicurando che sia disponibile un budget per gestire la violazione e mitigare contro ulteriori attacchi.

I dipendenti sanno cosa fare quando c'è una violazione dei dati?

Mettere in atto misure di gestione della violazione dei dati è un intero compito aziendale. Una delle parti fondamentali per fornire un'efficace gestione delle violazioni dei dati è il modo in cui si forma il personale. La pertinenza è la chiave per garantire che la gestione degli incidenti funzioni per la vostra organizzazione. Ogni organizzazione deve sviluppare il proprio approccio pertinente e unico per segnalare e gestire una violazione della sicurezza.

Il drill down per ottimizzare la consapevolezza inizia a livello di persone e processi. Ogni aspetto, dal più piccolo dettaglio al quadro generale, deve essere abbastanza approfondito per garantire che la vostra politica di risposta agli incidenti sia solida e comprensibile per tutto il personale. Questo deve includere:

Comunicazioni: Dai numeri di telefono utilizzati all'indirizzo e-mail o qualsiasi altro sistema utilizzato per segnalare una violazione

Ruoli e responsabilità: Evidenziare i responsabili degli incidenti e le loro responsabilità

Azioni: Chi fa cosa e quando e come svolgono il loro ruolo nell'aiutare a gestire una violazione dei dati

Rimedio: Come risolvere la violazione e le lezioni apprese, compreso qualsiasi aggiornamento della formazione sulla consapevolezza della sicurezza

Nelle grandi aziende multinazionali queste linee di comunicazione devono riflettersi in tutta l'organizzazione, unendo i dipartimenti e gli uffici dell'azienda.

Tutti devono comprare questo piano, dai dipendenti ai manager ai membri del consiglio di amministrazione.

Consapevolezza della sicurezza informatica per i manichini

potrebbe piacerti leggere questi