Il data breach è la violazione dei dati personali presenti in un determinato database, a seguito del quale quei dati vengono copiati, trasmessi, consultati o utilizzati da chi non è autorizzato a farlo.
Si tratta di una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali.
Il verificarsi di queste violazioni della privacy all’interno di un’organizzazione deve essere gestito, in primo luogo, ponendo rimedio alle conseguenze delle violazioni, in secondo luogo valutando se sussiste l’obbligo di notifica al Garante privacy e di comunicazione agli interessati.
Per comprendere la frequenza dei data breach e, quindi, dei danni che generano, basta osservare i numeri da record dell’Autorità Garante nell’attività di protezione dei dati personali. Una cifra fa comprendere i pericoli sempre maggiori nella rete: 1.387. E’ il numero dei data breach notificati nel 2020 al Garante, da parte di soggetti pubblici e privati.
E’ chiaro che la sicurezza informatica è diventata sempre più centrale nell’attività di un’organizzazione. La digitalizzazione delle imprese lo impone, ancora di più da quando, con lo scoppio della pandemia, è aumentato l’utilizzo del web per una gamma sempre più ampia di servizi (non solo nell’e-commerce)
Uno dei pericoli maggiori riguarda proprio la violazione dei dati, intesa come incidente di sicurezza. Nel caso di una simile violazione, è necessario un piano di intervento e gestione. Le minacce informatiche sono in continuo aumento e le aziende sono nel mirino dei cyber attacchi: essere preparati è decisivo.
Per questo, l’imprenditore avveduto concentra la sua attenzione su tre aspetti: vulnerabilità, minacce e soluzioni. Questo approccio consente di affrontare al meglio un data breach al fine di tutelare i dati da ogni rischio. Il sistema con le procedure di difesa è indicato dal Gdpr, il Regolamento europeo per la tutela della privacy.
Il Gdpr detta, in maniera strutturata, la normativa in tema di sicurezza informatica. Il Regolamento si occupa, infatti, della necessità di saper gestire un’eventuale violazione dei sistemi. In tale ottica, il data breach management diventa uno strumento indispensabile per raccogliere tutti gli elementi e i dati, che consentono di ricostruire l’incidente e fornire all’autorità garante le informazioni per identificare con esattezza la portata dell’incidente stesso, le possibili conseguenze, nonché risalire alla dinamica dell’attacco che ha portato alla compromissione dei sistemi.
Questo obbligo ha, quindi, indotto le organizzazioni a introdurre policy e procedure dirette alla gestione di un data breach. E per la corretta gestione di un incidente di sicurezza informatica è necessario, anzitutto, essere in grado di poterne ricostruire la dinamica e valutare l’impatto.
In pratica, è necessario avere la possibilità di analizzare tutti i log di sistema che consentono di definire un quadro completo del data breach. Le informazioni, infatti, dovranno essere fornite in allegato alla notifica dell’avvenuta violazione.
In particolare, secondo l’articolo 33 del Gdpr, in caso di violazione dei dati personali, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (il Garante per la protezione dei dati personali, nda) senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Qualora la notifica superi le 72 ore, deve essere corredata dai motivi del ritardo.
Il responsabile del trattamento informa il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.
In materia di data breach, il Gdpr impone un altro obbligo, quello relativo alla comunicazione a tutte le persone interessate dalla violazione dei dati personali coinvolti nell’incidente. La determinazione dell’esatto impatto, di conseguenza, è una parte fondamentale nella gestione del data breach.
Dunque, è rilevante il livello di protezione dei dati interessati in ottica di prevenzione: l’adozione di rigorose policy per la tutela dei dati (basti pensare, ad esempio, all’applicazione di sistemi di crittografia) rappresenta, in effetti, uno degli strumenti più efficaci per garantire l’intangibilità delle informazioni e, di conseguenza, la riduzione del danno qualora vi sia una violazione dei sistemi.
Il verificarsi di un data breach, peraltro, è la prova che esiste una vulnerabilità che deve essere eliminata. Quindi, la gestione della violazione assume un ruolo ulteriore, che comprende la definizione e l’adozione delle soluzioni al problema, ovvero delle contromisure necessarie per rimuovere o correggere le vulnerabilità utilizzate dai pirati informatici per portare l’attacco stesso.
E’ chiaro, quindi, che chi è addetto alla sicurezza (o colui al quale è affidata la sua gestione) deve agire non solo nell’ottica di rimuovere la falla del sistema quando si verifica, ma anche di aumentare le resilienza dell’intera infrastruttura it proprio partendo dall’individuazione dei punti deboli, che vanno eliminati per evitare il ripetersi del data breach.
Il data breach management rappresenta, così, l’insieme delle analisi e delle procedure che impediscono, limitano o eliminano la violazione dei dati.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza nel caso in cui si verifichi un data breach.
Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.