Violazioni dei dati: chi le subisce non si è protetto adeguatamente

Violazioni dei dati: chi le subisce non si è protetto adeguatamente
Molti degli attacchi subiti dalle organizzazioni avvengono a causa delle non conformità rispetto al livello di sicurezza promesso

Secondo Gabriele Zanoni, Systems Engineer di FireEye, “Attuare e mantenere misure di sicurezza ragionevoli e appropriate è il primo passo che un’azienda deve prendere in considerazione. Questa affermazione implica che chi non è stato in grado di creare e mantenere un programma di sicurezza delle informazioni adeguato ha permesso che si verificasse una violazione dei dati altrimenti evitabile.”

Per un’azienda è sempre fondamentale verificare l’accuratezza delle dichiarazioni inerenti le pratiche di sicurezza dei dati aziendali e le modalità con cui reagisce ad una compromissione. Molti degli attacchi subiti dalle organizzazioni, infatti, avvengono a causa delle non conformità rispetto al livello di sicurezza che avevano promesso.

Molto importante è sviluppare e testare con regolarità un piano di incident response. La maggior parte delle problematiche in materia di sicurezza informatica, infatti, mette in discussione l’adeguatezza delle risposte delle aziende ai cyber-incidenti.

Infine, indispensabile è comprendere gli obblighi relativi alle notifiche. Nelle loro cause, le autorità di regolamentazione fanno sempre più spesso riferimento a presunte mancate notifiche ai consumatori.

Le autorità di regolamentazione, che sono prevalentemente avvocati dello Stato, nel passato hanno intrapreso azioni contro le società che, presumibilmente, hanno utilizzato pratiche insufficienti per la sicurezza dei dati, affermando che pertanto sono state infrante le leggi che vietano comportamenti sleali o ingannevoli, nonché quelle inerenti a specifici requisiti legali di sicurezza dei dati e le leggi in materia di gestione delle notifiche per le violazioni.

Non essere efficacemente rispondenti in materia di sicurezza dei dati può comportare dei rischi non indifferenti a livello legale.

“Le aziende che subiscono una compromissione o sono esposte a vulnerabilità possono essere oggetto di cause che, nella maggior parte dei casi, sono intraprese da persone – consumatori o dipendenti – i cui dati potrebbero essere stati compromessi”, aggiunge Zanoni.

Le leggi e i regolamenti recentemente approvati aumentano ulteriormente la pressione legale sulle aziende che raccolgono e collezionano informazioni personali. Ad esempio, il GDPR, che fra qualche mese compirà un anno, impone obblighi in tema di misure di sicurezza e di notifica delle violazioni mentre il regolamento emanato dal Dipartimento dei servizi finanziari di New York, ha imposto stringenti requisiti di sicurezza informatica a società finanziarie e assicurative.

Mentre molte organizzazioni si concentrano sull’incident response, la preparazione agli incidenti stessi è altrettanto importante. Spesso, tuttavia, le aziende non adottano le misure necessarie per permettere una considerevole riduzione dei rischi, associati a contenziosi, che spesso seguono gli annunci delle violazioni informatiche.

Alcune problematiche comuni osservate sono:

  • Mancanza di un piano di incident response o presenza di un piano troppo complicato da eseguire.
  • Mancata verifica del piano di risposta o la non inclusione del senior management nei processi di valutazione.
  • Trascurare il coinvolgimento di fornitori terzi in un piano di risposta.
  • Mancanza di un piano di comunicazione.
  • Documentazione IT limitata o imprecisa, che mostra quali misure di sicurezza informatica l’azienda ha adottato.
  • Mancanza di piena visibilità della rete.

Conclude Zanoni: “Anche con il massimo impegno, le violazioni informatiche possono verificarsi e si verificano: le azioni che le organizzazioni compiono a seguito di una compromissione potranno avere conseguenze sia nell’immediato sia a lungo termine.”

L’importante per un’organizzazione è quindi ridurre al mimino le eventuali conseguenze dannose tramite alcuni accorgimenti:

  • Consultare tempestivamente un consulente legale esperto per limitare i danni e garantire il rispetto degli obblighi normativi.
  • Garantire che le prove forensi dell’incidente siano correttamente preservate
  • Investigare e contenere l’incidente con l’aiuto di un consulente legale e un team di incident response
  • Determinare se informare gli assicuratori
  • Informare dell’incidente il Senior Management ed il CdA
  • Determinare le tipologie delle notifiche, interne ed esterne, che sono necessarie

Il presupposto che le aziende devono sempre tenere a mente è che una violazione della rete avverrà. L’importante sarà come un’organizzazione riuscirà a rispondere tempestivamente.