Contattaci
icon1 Revenue
Inbound Marketing
Attira traffico e converti lead
Inbound Sales
Ottimizza il tuo flusso di vendita
Piani SEO
Fatti trovare sui motori di ricerca
ADV
Ottimizza il tuo budget online
Consulenza
La miglior strategia per la tua azienda
Segreteria di prevendita
Aumenta il successo delle chiamate
Group 553 BRAND
Concorsi a premi
Raggiungi gli obiettivi con il gioco!
Visual Brand Identity
Dai una nuova veste alla tua azienda
Video strategy
Per eventi, prodotti, ADV e funnel
Metaverso Experience
Fidelizza i tuoi clienti in un mondo alternativo
Programmi Fedeltà
Fidelizza i clienti e aumenta le vendite
Group 556 Legal
Legal Annual
PAG, DPO e MOP
Legal Automation
Firma digitale, Blockchain, Conservazione sostitutiva, HubSpot
Legal Process
IT Security in conformità al GDPR
Legal Training
La Formazione certificata, digitalizzata e automatizzata
Group 560 DEVELOPMENT
Sviluppo siti web
Siti che attirano, convertono e vendono
Integrazioni tra software
Creiamo connessioni tra sistemi diversi
Progetti custom
Ad ogni tua esigenza un software ad hoc (leggi le case study)
Preventivatori
Automatizza le richieste di preventivo
HUBSPOT
La marketing e sales automation
Scopri il software
Video tutorial
Onboarding
Shopify
Il miglior software per eCommerce
Automation
Le piattaforme create da Archimedia per automatizzare ogni attività
Leadmatiq
Gestisci le lead con la rete vendita
Learnmatiq
Formazione online automatizzata
Winmatiq
Concorsi a premi per brand awareness e lead generation
Loymatiq
Programmi Loyalty per fidelizzare i clienti
Software Custom

Un software per ogni esigenza
Case study
Storie di successo e risultati ottenuti 
Portfolio
Tutte le cose fatte per i nostri clienti
Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call
Ebook
Raccolta gratuita di guide e libri digitali
Video tutorial HubSpot
Video-consigli su HubSpot e Inbound 
Blog Inbound
Ogni settimana un nuovo approfondimento 
Blog Legal
Tutto su Conformità GDPR e sicurezza aziendale
L'AZIENDA
Tutti gli esperti che ti affiancano
PARTNER
Le migliori aziende con cui lavoriamo
RELAZIONI
Le Relazioni che danno valore al brand
LAVORA CON NOI
Entra a far parte del team
EVENTI
TEDxRovigo
Condividiamo idee per un futuro migliore 
Corsi
Corsi online web marketing
Formazione digital Marketing e Sales

Data Breach Gdpr: come muoversi tra vulnerabilità, minacce e soluzioni

7 lug , 2021 | 4 minuti

TOPICS

Data-Breach-Gdpr--come-muoversi-tra-vulnerabilità,-minacce-e-soluzioni

La sicurezza informatica è diventata sempre più centrale nell’attività di un’organizzazione. La digitalizzazione delle imprese lo impone, ancora di più da quando, con lo scoppio della pandemia, è aumentato l’utilizzo del web per una gamma sempre più ampia di servizi (non solo nell’e-commerce).

Uno dei pericoli maggiori riguarda la violazione dei dati, ovvero il data breach

Quest’ultimo è un incidente di sicurezza, durante il quale i dati degli utenti possono venir consultati, copiati, rubati, trasmessi e divulgati da soggetti che non sono autorizzati a farlo, oppure distrutti, persi, modificati.

Nel caso di una simile violazione, è necessario un piano di intervento e gestione. Nel panorama attuale, in cui le minacce informatiche sono in continuo aumento e le aziende sono nel mirino dei cyber attacchi, essere preparati è decisivo: è fondamentale la differenza tra un incidente gestito e un potenziale disastro.

Essere pronti: questo è l’imperativo categorico. Quindi, occorre studiare tre aspetti:

  1. vulnerabilità
  2. minacce
  3. soluzioni.
Questo approccio consente di affrontare al meglio un data breach, quindi tutelare i dati da ogni rischio. Il sistema con le procedure di difesa è indicato dalle norme: ancora una volta il Gdpr è il punto di riferimento, la guida, la bussola in caso di violazioni.

 

La gestione del data breach: le norme del Gdpr

Il regolamento europeo sulla protezione dei dati (il Gdpr) detta, in maniera strutturata, la normativa in tema di sicurezza informatica.

Tra le diverse prescrizioni contenute nel regolamento, spicca quella relativa alla necessità di saper gestire un’eventuale violazione dei sistemi. In tale ottica, il data breach management diventa uno strumento indispensabile per raccogliere tutti gli elementi e i dati, che consentono di ricostruire l’incidente e fornire all’autorità garante le informazioni per identificare con esattezza la portata dell’incidente stesso, le possibili conseguenze, nonché risalire alla dinamica dell’attacco che ha portato alla compromissione dei sistemi.

Questo obbligo previsto dalla legge ha, quindi indotto, le organizzazioni a introdurre policy e procedure dirette alla gestione di un data breach. E, in senso più ampio, rappresenta un tassello nella costruzione di una vera cultura della sicurezza, intesa come principio di azione costante a tutela dei dati.

Per la corretta gestione di un incidente di sicurezza informatica è necessario, quindi, essere in grado di poterne ricostruire la dinamica e valutarne l’impatto. Il prerequisito per questo tipo di operazione, però, è quello di avere un livello adeguato di visibilità sui sistemi informatici dell’azienda. In pratica, è necessario avere la possibilità di analizzare tutti i log di sistema che consentono di definire un quadro completo del data breach.

Le informazioni, infatti, dovranno essere fornite in allegato alla notifica dell’avvenuta violazione, salvo che si renda necessario, per la complessità dell’analisi, procedere ad una “notificazione in fasi”, in cui i dettagli possono essere forniti in un momento successivo alla prima notifica.

In particolare, secondo l’articolo 33 del Gdpr, in caso di violazione dei dati personali, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (il Garante per la protezione dei dati personali) senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Qualora la notifica superi le 72 ore, deve essere corredata dai motivi del ritardo.

Il responsabile del trattamento deve informare il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.

 

L’impatto del data breach e le vulnerabilità

Tra gli obblighi imposti dal Gdpr c’è anche quello relativo alla comunicazione a tutte le persone interessate dalla violazione dei dati personali coinvolti nell’incidente. La determinazione dell’esatto impatto, di conseguenza, è una parte fondamentale nella gestione del data breach.

In questo senso, un elemento rilevante è il livello di protezione dei dati interessati: l’adozione in chiave preventiva di rigorose policy per la tutela dei dati (per esempio, attraverso l’applicazione di sistemi di crittografia) rappresenta, infatti, uno degli strumenti più efficaci per garantire l’intangibilità delle informazioni e, di conseguenza, la mitigazione del danno in caso di violazione dei sistemi.

E se violazione c’è stata, esiste una vulnerabilità che va eliminata o sanata. Quindi, il data breach management ha un ruolo ulteriore nella fase successiva alla gestione della violazione vera e propria. Questa comprende la definizione e l’adozione delle contromisure necessarie per rimuovere o correggere le vulnerabilità utilizzate dai pirati informatici per portare l’attacco stesso.

L’attività, che coinvolge chi è addetto alla sicurezza (o colui al quale è affidata la sua gestione) ha l’obiettivo non solo di rimuovere la falla del sistema individuata, ma di aumentare le resilienza dell’intera infrastruttura it.

 

La difesa contro le minacce alla continuità operativa

Sempre nell’ottica della prevenzione e della sicurezza informatica, vi sono strumenti da cui non si può prescindere: il buon imprenditore, se vuole tutelare la sua azienda, programma interventi efficaci per affrontare anche l’imprevedibile.

È questa la ragione per cui è necessario predisporre il business continuity plan, ovvero il piano di continuità operativa: è l’insieme di procedure, documentate, necessarie alle organizzazioni per rispondere, recuperare, riprendere e ripristinare l'operatività a seguito di un’interruzione.

Il piano copre le risorse, i servizi e le attività richieste per poter assicurare la continuità delle funzioni organizzative critiche.

Le imprese che agiscono con azioni preventive, preparando un piano di intervento, sono in grado di superare le emergenze e le violazioni, tornando subito alla normalità. Questo ci introduce al tema del disaster recovery plan, ovvero al piano di recupero del disastro.

Il disaster recovery è l’insieme delle misure tecnologiche e logistico organizzative dirette a ripristinare dati, applicazioni e sistemi informatici necessari ad assicurare l’operatività del business per imprese, associazioni o enti, al verificarsi di guasti tecnici, calamità naturali o gravi emergenze che minacciano la sopravvivenza aziendale.

Il disaster recovery plan è il documento che esplicita queste misure, raccogliendo le procedure da adottare (a partire dalla classificazione dei dati e dei sistemi critici), ed è compreso all’interno del più ampio business continuity plan. Dunque, ne rappresenta solo un aspetto.

Infatti, il business continuity plan tiene conto non solo dell’eventuale compromissione della funzionalità tecnologica dell’azienda, ma anche degli eventi economici, normativi, sociali e finanziari che impattano sull’attività imprenditoriale.

 

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

 

Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza nel caso in cui si verifichi un data breach.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.

Paolo Monini

DPO & Chief Risk Officer

Articoli Correlati

23.set.2021 | Paolo Monini
Privacy Data Breach Gdpr: quali vulnerabilità e quali soluzioni
Leggi l’articolo
20.gen.2022 | Paolo Monini
Registro delle violazioni privacy
Leggi l’articolo
27.gen.2020 | Paolo Monini
Dati Biometrici e Sicurezza: la videosorveglianza è un pericolo?
Leggi l’articolo
Scroll