Proteggere le aziende dai data breach: la gestione di emergenze cyber e continuità operativa
2024-2-2 19:16:42 Author: www.cybersecurity360.it(查看原文) 阅读量:41 收藏

DATA PROTECTION

In un mondo sempre più interconnesso, garantire la protezione dei dati si rivela essenziale per preservare la stabilità delle aziende. È fondamentale, quindi, investire in sicurezza informatica e adottare le necessarie misure tecniche e organizzative per gestire correttamente le emergenze cyber e la business continuity

Pubblicato il 02 Feb 2024

Sempre più spesso le aziende si affidano ai dati digitali per gestire le loro operazioni e fornire servizi ai clienti. Tuttavia, con questa crescente dipendenza dai dati digitali, sorgono anche nuove minacce.

Incidenti informatici, violazioni dei dati e altre emergenze informatiche possono avere gravi conseguenze per le aziende.

Pertanto, è essenziale che le aziende implementino una solida strategia di incident response e business continuity per proteggersi da queste minacce.

DPO e OdV insieme per prevenire reati informatici e data breach: esempi pratici

Pianificazione delle emergenza cyber

Una corretta analisi dei rischi consente di gestire nel migliore dei modi una violazione dei dati.

Ormai siamo pienamente consapevoli che non è possibile evitare totalmente un data breach.

Tutte le aziende sono soggette ad attacchi informatici, nessuno è escluso, quindi, meglio prendere coscienza del “quando avverrà una violazione dei dati e non se avverrà una violazione”.

Sei sicuro della conformità ESG dei tuoi prodotti? Elimina ogni dubbio scaricando l'eBook!

Prevenire i data breach richiede, da parte delle aziende, un approccio robusto alla sicurezza dei dati.

Predisporre una procedura di “incident response” rappresenta la pianificazione di criteri, di risorse, capaci di rilevare il prima possibile attacchi, rimuovere le cause, contenere gli effetti e ripristinare i sistemi al fine di minimizzare l’impatto della minaccia sugli asset societari, sia dal punto di vista economico, dal punto di vista reputazionale, sia per quanto riguarda i diritti e le libertà delle persone interessate alla violazione.

In un’ottica di accountability, il titolare del trattamento, redigendo il piano di incident response, ottempera agli obblighi di cui all’art 32 GDPR 679/2016 par. 1 comma c, il quale determina che quest’ultimo debba mettere in atto misure tecniche specifiche al fine di mitigare i rischi relativi al trattamento dei dati.

La sicurezza informatica in Italia

Il rapporto Clusit 2023 offre una prospettiva allarmante sulla situazione della sicurezza informatica in Italia. Nel corso dei primi sei mesi di quell’anno, si è registrato un significativo peggioramento, con un aumento del 26% negli attacchi informatici. Questo scenario preoccupante può essere attribuito a diversi fattori chiave.

Innanzitutto, l’Italia è caratterizzata dalla presenza di molte microimprese, spesso prive delle risorse necessarie per garantire una difesa adeguata contro le minacce informatiche. Queste aziende, a causa delle loro dimensioni ridotte, possono essere particolarmente vulnerabili agli attacchi informatici.

In secondo luogo, la rapida accelerazione verso la digitalizzazione, l’adozione del cloud e l’innovazione tecnologica degli ultimi tre anni hanno colto impreparate molte aziende. Questo ha portato a un aumento delle vulnerabilità, rendendo più probabile il successo degli attacchi informatici.

Un altro dato preoccupante emerso dal rapporto è che solo il 20% delle aziende si avvale di una figura interna o esterna esperta in cyber security.

Questo sottolinea l’importanza di investire in professionisti qualificati per proteggere le aziende dalle crescenti minacce informatiche.

In sintesi, la situazione della sicurezza informatica in Italia richiede una maggiore attenzione e investimenti da parte delle imprese, specialmente nelle microimprese, al fine di mitigare le vulnerabilità e prevenire futuri attacchi. La consapevolezza dell’importanza della cyber security e l’impiego di esperti qualificati diventano sempre più cruciali in questo contesto.

Gli attacchi nel nostro Paese vengono compiuti con tecniche spesso standardizzate e favoriti dalla limitata capacità di difesa delle vittime.

Malware, phishing, vulnerabilità, ingegneria sociale sono ancora le tecniche più utilizzate.

Questo significa che non sappiamo ancora gestire correttamente i nostri account, non teniamo aggiornati i nostri dispositivi, server e apriamo incautamente link pericolosi nelle e-mail.

Come pianificare l’emergenza in caso di violazione dei dati

Il fenomeno del data breach rappresenta una delle minacce più concrete nel panorama digitale odierno. Prevenire tali violazioni è una responsabilità etica ed è anche una necessità strategica per proteggere la reputazione e la solidità di un’azienda.

Analizziamo le misure essenziali per costruire una difesa efficace.

Formazione del personale

La vulnerabilità più significativa di qualsiasi sistema spesso risiede nella componente umana, che rappresenta l’anello debole della catena. Un collaboratore mal informato o non adeguatamente preparato può diventare un vettore di attacchi significativo. Pertanto, una formazione completa e in corso per tutto il personale sull’importanza della protezione dei dati è assolutamente cruciale.

Il GDPR, nel suo articolo 29, sottolinea l’importanza di istruire adeguatamente chi ha accesso ai dati personali. La formazione non solo è consigliata, ma obbligatoria. È essenziale che tutti i dipendenti siano adeguatamente formati e che questa formazione venga documentata per dimostrare la conformità alle normative sulla protezione dei dati.

Investire nella formazione continua e nella consapevolezza dei dipendenti è un passo fondamentale per rafforzare la sicurezza informatica e prevenire potenziali violazioni dei dati.

Rafforzare la sicurezza informatica

Ogni azienda dovrebbe investire in soluzioni tecnologiche avanzate, come sistemi di crittografia dei dati, firewall, software antimalware e piani di disaster recovery, protezione degli endpoint, piattaforme XDR strumento sofisticato di identificazione dei comportamenti anomali e delle violazioni, gli IDS (Intrusion Detection System), i SIEM (Security Information Alert Management, e gli antivirus di ultima generazione.

L’adozione di pratiche come l’autenticazione a due fattori può fare la differenza tra un sistema sicuro e uno vulnerabile.

Audit e test regolari

Esaminare e testare periodicamente le infrastrutture IT aiuta a identificare potenziali punti deboli e a correggerli prima che diventino un problema.

Gli audit giocano un ruolo fondamentale nel garantire la conformità, la sicurezza e l’efficienza delle operazioni aziendali. Sono strumenti essenziali per la gestione e il miglioramento continuo delle performance aziendali.

Promuovere una cultura della sicurezza

Oltre alla formazione, è cruciale instaurare una cultura aziendale che ponga un’alta enfasi sulla sicurezza dei dati.

Questo implica creare un ambiente in cui ogni membro del team sia pienamente consapevole dell’importanza dei dati che gestisce e dei rischi connessi alla loro violazione.

Piano di risposta alle emergenze

Anche se si adottano le precauzioni migliori, è importante comprendere che non esiste un rischio completamente eliminato.

Questo sottolinea l’importanza di avere un piano di risposta alle emergenze ben definito, che consenta di reagire tempestivamente in caso di violazioni, riducendo al minimo l’impatto e ripristinando la normalità operativa nel minor tempo possibile.

Avere una copertura assicurativa per eventuali casi di data breach

Il rischio informatico può essere descritto come la potenziale esposizione a perdite finanziarie (rischi diretti) e danni alla reputazione (rischi indiretti) causati dall’utilizzo della tecnologia.

Questa definizione comprende sia i pericoli intrinseci alla tecnologia stessa, noti come rischi interni, che i pericoli derivanti dall’automazione tramite l’utilizzo della tecnologia nei processi operativi aziendali, conosciuti come rischi esterni.

Conformità normativa e aggiornamenti continui

L’ambito legislativo, soprattutto riguardo alla protezione dei dati, sta costantemente evolvendo. Mantenere un costante aggiornamento e assicurare che l’azienda sia sempre conforme alle ultime normative è un imperativo.

La prevenzione di una violazione dei dati non dipende solo dalla tecnologia, ma coinvolge anche la cultura aziendale, la formazione e la consapevolezza.

Adottare un approccio proattivo alla sicurezza dei dati significa non solo proteggere il proprio business e la sua reputazione, ma soprattutto mantenere la fiducia dei clienti e dei partner.

Le tipologie di violazioni dei dati

Quando si verifica una compromissione dei dati personali, la stessa viene classificata in base alla natura della violazione. Qualunque sia la causa, una data breach è un evento che determina la perdita di riservatezza, integrità o disponibilità dei dati (RID).

La ISO 27001 è progettata al fine di tutelare la riservatezza, l’integrità e la disponibilità delle informazioni e a proteggere i dati dai crimini informatici, da un utilizzo improprio, da furti e da altri fattori.

Esistono tre tipi di violazione dei dati personali:

  1. Violazione della riservatezza: si riferisce alla divulgazione non autorizzata o accidentale di informazioni personali.
  2. Violazione della disponibilità: questa tipologia riguarda l’inaccessibilità o la perdita dei dati personali.
  3. Violazione dell’Integrità: si verifica quando i dati personali vengono alterati senza il dovuto permesso.

Una volta classificata la violazione quale intenzionale o accidentale distruzione, perdita, modifica di dati personali ovvero quale divulgazione non autorizzata e accesso ai dati personali illecito, l’azienda dovrà valutare se sussiste un rischio elevato per gli interessati tale da cagionare:

  1. discriminazioni;
  2. furto d’identità;
  3. perdite finanziarie;
  4. pregiudizio alla reputazione;
  5. perdita di riservatezza dei dati personali protetti da segreto professionale;
  6. danno economico;
  7. privazione di diritti o libertà;
  8. impedito controllo sui dati personali all’interessato;
  9. danni fisici, materiali o immateriali alle persone fisiche.

In conformità con il GDPR, se una violazione dei dati personali “può comportare un alto rischio per i diritti e le libertà delle persone fisiche”, è obbligatorio informare immediatamente gli interessati sulla violazione. Tuttavia, vi sono delle eccezioni a questa regola.

La notifica agli interessati non è richiesta nei seguenti casi:

  1. Misure Protettive: se il responsabile del trattamento dei dati ha implementato misure di protezione, come la cifratura, che rendono i dati incomprensibili per chi non ha il diritto di accesso, allora la notifica agli interessati potrebbe non essere necessaria.
  2. Sforzo Sproporzionato: se la comunicazione individuale a ciascun interessato richiede uno sforzo sproporzionato (ad esempio, informare ogni individuo separatamente sarebbe impraticabile), è possibile effettuare una comunicazione pubblica o un avviso equivalente per informare gli interessati sulla violazione.

Tuttavia, è importante notare che anche in questi casi di eccezione, è comunque richiesto che l’autorità di controllo competente sia informata della violazione dei dati personali. La decisione di non notificare individualmente gli interessati deve essere ben motivata e documentata.

L’obiettivo principale dell’incident response è, senza dubbio, la minimizzazione dei danni. Questo si traduce nella mitigazione delle azioni in corso e nel ripristino dei sistemi e dei dati aziendali alla loro condizione normale.

Il team di incident response assume un ruolo centrale coordinando l’intera procedura.

Solitamente, il team è composto da diverse figure specializzate, tra cui il delegato del titolare, il Data Protection Officer (DPO), il dipartimento IT e il dipartimento delle relazioni esterne aziendali. Queste figure lavorano in sinergia per apportare valore in un momento così delicato come quello di un incidente di sicurezza informatica.

È fondamentale organizzare con attenzione l’incident response, poiché solo attraverso una pianificazione scrupolosa può dimostrarsi efficace, specialmente in situazioni caratterizzate da grande tensione e ansia, che spesso accompagnano l’accadere di un incidente di sicurezza informatica.

Le fasi dell’incident response

Il piano di gestione degli incidenti comprende sei fasi che formano un processo continuo e sequenziale. Questo approccio mira a garantire un alto grado di resilienza per le aziende che si trovano ad affrontare attacchi informatici.

La gestione degli incidenti non si limita solamente all’ambito dell’informatica, ma promuove una visione ampia per affrontare in modo completo gli scenari in cui si verificano incidenti.

Fase 1: preparazione

Questo comprende una vasta gamma di azioni, richiedendo così un’analisi dettagliata dei sistemi di sicurezza in possesso dell’organizzazione. È essenziale valutare l’efficacia dei sistemi di monitoraggio per determinare se sono realmente in grado di fornire una visibilità adeguata delle potenziali aree a rischio all’interno della rete, per varie ragioni.

Tra le fasi preparatorie per la pianificazione della gestione degli incidenti, sarebbe altamente consigliabile includere un processo di valutazione delle vulnerabilità. Questi test possono rivelare eventuali debolezze presenti nei sistemi.

Fase 2: identificazione

La seconda tappa del piano si concentra sulla rilevazione di un incidente, iniziando con la necessità di determinare se stiamo affrontando effettivamente una situazione di sicurezza informatica compromessa, un falso allarme o un problema imprevisto non legato a un attacco informatico.

Per identificare correttamente un incidente, è essenziale avere accesso a dati e informazioni che permettano di creare una cronologia degli eventi. Pertanto, è cruciale disporre di sistemi di monitoraggio in grado di raccogliere e analizzare i log dei dispositivi. La visibilità diventa così un requisito fondamentale su cui basarsi. Un sistema di monitoraggio efficace potrebbe individuare anomalie nell’infrastruttura informatica anche quando la minaccia non si manifesta con azioni aggressive.

L’obiettivo primario è identificare l’incidente, compreso il suo scopo e le intenzioni dell’attaccante. Comprendere le motivazioni di un criminale consente di pianificare azioni successive in modo più consapevole, spesso prevedendo le sue mosse future.

Fase 3: contenimento

Dopo aver scoperto di essere stati colpiti da un incidente informatico e aver identificato in modo dettagliato la sua natura e gli obiettivi dell’attacco, diventa imperativo avviare immediatamente una fase di contenimento.

Questa fase è cruciale per limitare la diffusione degli effetti dannosi, evitando che il danno si estenda ulteriormente. Allo stesso tempo, fornisce al team il tempo necessario per pianificare le azioni volte a eliminare la minaccia e ripristinare completamente i sistemi e i dati compromessi.

Durante questa fase di contenimento, vengono adottate misure atte a isolare l’incidente e ad impedire che si diffonda. Questo può includere la disconnessione dei sistemi colpiti dalla rete, la rimozione di malware o software dannosi e il rafforzamento delle misure di sicurezza per prevenire ulteriori infiltrazioni.

L’obiettivo principale è contenere l’incidente nella sua attuale estensione e prevenire ulteriori danni.

Parallelamente, il team si prepara a condurre un’indagine dettagliata sull’incidente per comprendere appieno le sue origini e le modalità con cui è avvenuto.

Questa analisi è fondamentale per determinare come l’attaccante abbia avuto accesso e quali dati siano stati compromessi. Una volta raccolte queste informazioni, si può procedere con la fase successiva, che mira a eliminare completamente la minaccia e ripristinare l’integrità dei sistemi e dei dati.

Fase 4: risanamento

Nella fase di eliminazione della minaccia, conosciuta come “risanamento“, è essenziale esercitare cautela. Non dovremmo affrettarci nell’azione, poiché potremmo interrompere un processo ancora in corso prima di averlo completamente compreso, compromettendo gli obiettivi fondamentali di raccolta di informazioni necessarie per ottenere una visione completa dell’attacco subito.

Ad esempio, è importante stabilire se ci sia stata una perdita di dati oltre alla semplice violazione.

Dopo aver rimosso la minaccia, è cruciale implementare misure di monitoraggio per valutare l’efficacia delle azioni messe in atto e prevenire possibili attacchi futuri.

Non dovremmo mai sottovalutare l’entità di un attacco, neanche dopo aver compreso la sua portata effettiva.

Fase 5: recovery (ripristino)

La fase di recupero dei sistemi violati rappresenta l’ultima fase delle attività attive di intervento sull’incidente ed è avviata simultaneamente alla rimozione della minaccia. In linea con le disposizioni del piano di “continuità aziendale”, l’obiettivo della fase di ripristino è riportare in funzione i sistemi colpiti durante l’attacco e garantire l’integrità (per quanto possibile) dei dati.

Da un punto di vista operativo, questa fase coinvolge principalmente il dipartimento IT, che si occupa di ripristinare i dispositivi e i sistemi operativi danneggiati, nonché di eliminare gli account compromessi. Vengono cambiate le password degli account per rafforzare la sicurezza.

Tuttavia, il semplice ripristino di una situazione precedente all’attacco potrebbe non essere sufficiente se ci sono ancora evidenti vulnerabilità in termini di sicurezza informatica. All’interno di una strategia di miglioramento continuo della sicurezza informatica aziendale, prende forma il sesto e ultimo punto previsto dal piano di gestione degli incidenti: il follow-up.

Il follow-up è essenziale per valutare criticamente le lezioni apprese dall’incidente, apportare miglioramenti ai processi di sicurezza informatica e garantire che l’azienda sia meglio preparata per affrontare futuri attacchi. È una componente fondamentale per mantenere una solida difesa nel lungo termine.

Fase 6: follow-up

La documentazione relativa all’incidente assume un ruolo di primaria importanza per valutare, innanzitutto, se le azioni intraprese siano in linea con le procedure stabilite nel piano di gestione degli incidenti.

Nel caso in cui si riscontrino deviazioni, è fondamentale comprendere se ciò sia dovuto a una mancanza di preparazione o consapevolezza da parte del team di gestione degli incidenti o se il piano stesso contenga elementi problematici che abbiano richiesto adattamenti durante l’azione per garantire una mitigazione efficace.

Il processo di follow-up rappresenta un momento di analisi e riflessione che avviene al di fuori dell’agitazione tipica durante l’incidente. L’obiettivo principale di questa fase è sostenere una strategia di miglioramento continuo nella gestione degli incidenti.

Inoltre, mira a individuare misure da implementare o da integrare per ridurre sia la probabilità di futuri incidenti, sia la gravità dei potenziali impatti nel caso in cui si verifichino

Gestione della continuità operativa

Una corretta implementazione della continuità operativa consente all’azienda di mantenere la fornitura dei propri prodotti e servizi anche in seguito a eventi critici.

In parallelo al processo di gestione degli incidenti, viene attuato un piano di continuità operativa per garantire la resilienza durante gli eventi e mantenere l’efficienza operativa.

Il Disaster Recovery si misura attraverso due indicatori chiave:

  1. RPO (Recovery Point Objective): Questo indica il periodo massimo in cui è possibile mettere al sicuro un dato, ad esempio attraverso il backup. Rappresenta la massima quantità di dati che il sistema può perdere a causa di un guasto improvviso. Un RPO ottimale è zero, il che significa che i dati sono immediatamente protetti.
  2. RTO (Recovery Time Objective): Questo rappresenta il massimo periodo di downtime necessario per ripristinare i servizi danneggiati a seguito di un disastro. Un RTO ottimale è zero, il che significa che il downtime è nullo.

Mantenere RPO e RTO a zero è una sfida quasi impossibile. L’obiettivo del Disaster Recovery è avvicinarsi il più possibile a questi valori minimi, garantendo una rapida protezione dei dati e una ripresa veloce dei servizi dopo un evento critico.

La principale norma di riferimento del settore è la ISO 22301 (Societal Security – business continuity management systems).

Ultima ma non ultima è la registrazione nel registro dei data breach.

Il registro dei data breach è un documento essenziale per la registrazione dettagliata di tutte le informazioni relative alle violazioni della sicurezza dei dati. Contiene i seguenti elementi:

  1. Data della violazione: la data precisa in cui è stata scoperta o si è verificata la violazione dei dati.
  2. Descrizione della violazione: una descrizione completa di come e dove si è verificata la violazione, compresi i sistemi o i processi coinvolti.
  3. Dati compromessi: l’elenco dei tipi di dati personali o sensibili che sono stati compromessi o a cui è stato possibile accedere durante la violazione.
  4. Cause della violazione: l’identificazione delle cause o delle vulnerabilità che hanno consentito la violazione dei dati, come errori umani, attacchi informatici o falle di sicurezza.
  5. Azioni immediate: la registrazione delle azioni immediate intraprese per mitigare o risolvere la violazione, come la chiusura di sistemi compromessi o la rimozione di accessi non autorizzati.
  6. Notifica alle autorità: se necessario, il momento in cui sono state notificate le autorità competenti in conformità con le leggi sulla protezione dei dati.
  7. Notifica agli interessati: il momento e il metodo con cui è stata comunicata la violazione ai soggetti interessati, come i clienti o i dipendenti, se richiesto dalla legge.
  8. Risposta a lungo termine: le misure adottate per prevenire futuri data breach e migliorare la sicurezza dei dati a lungo termine.
  9. Documentazione di supporto: la conservazione di qualsiasi documentazione, rapporti di analisi forense o comunicazioni relative alla violazione dei dati che potrebbero essere utili per future indagini o audit.
  10. Responsabilità: la specifica delle responsabilità per la gestione della violazione e il processo di escalation associato.
  11. Revisione e miglioramento: l’inclusione di un processo per la revisione periodica del registro dei data breach e per l’implementazione di miglioramenti nella gestione della sicurezza dei dati.

Il registro dei data breach è uno strumento per dimostrare la conformità al GDPR e per continuare a migliorare la gestione della sicurezza dei dati all’interno dell’organizzazione.

Conclusioni

In un mondo sempre più interconnesso, garantire la protezione dei dati si rivela essenziale per preservare la stabilità delle aziende.

Investire nella sicurezza informatica non costituisce soltanto un obbligo, bensì rappresenta un’occasione preziosa per costruire un futuro aziendale robusto e affidabile.

Come costruire l'ufficio tecnologico del futuro senza investimento iniziale

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/proteggere-le-aziende-dai-data-breach-la-gestione-di-emergenze-cyber-e-continuita-operativa/
如有侵权请联系:admin#unsafe.sh