Consigli pratici per la gestione degli incidenti di sicurezza all’interno di un contesto aziendale

Gli incidenti di sicurezza costituiscono uno dei principali effetti negativi della minaccia cibernetica per le organizzazioni.
È rilevante essere preparati per poter mitigare la concretizzazione di tale minaccia, la rilevazione tempestiva in caso di accadimento, e la resilienza successivamente agli eventi, nonché la gestione delle comunicazioni a tutti i portatori di interesse e agli enti regolamentari.

 

In cosa consiste un incidente di sicurezza?

Un incidente di sicurezza è un evento indesiderato o imprevisto che ha una probabilità significativa di compromettere le operazioni aziendali e minacciare la riservatezza, l’integrità e la disponibilità del patrimonio informativo aziendale.

Tali incidenti, dunque, potrebbero dar luogo alla divulgazione fortuita od intenzionale di informazioni riservate a parti non autorizzate (violazione della confidenzialità), alla modifica non autorizzata di informazioni (violazione dell’integrità) ed alla perdita o distruzione delle informazioni (violazione della disponibilità).

A titolo esemplificativo si riportano di seguito alcune tra le tipologie più ricorrenti degli incidenti di sicurezza:

  • accesso (sia logico che fisico) a reti, sistemi, applicazioni, dati o altre risorse tecnologiche di proprietà dell’azienda da parte di personale non autorizzato;
  • abuso di privilegi su software e applicazioni da parte del personale che esegue azioni non coerenti con le mansioni lavorative;
  • attacchi informatici (quali ad esempio malware, phishing, ransomware, distributed denial of service “DDoS” etc.) alla disponibilità di una rete o sistema che possono comportare la difficoltà all’accesso o la totale indisponibilità di determinati sistemi e dei servizi;
  • violazione delle politiche di sicurezza aziendali e delle disposizioni sul corretto utilizzo dei dispositivi;
  • furto o smarrimento totale o parziale di apparecchiature che contengono dati personali (c.d. data breach);
  • qualsiasi evento distruttivo (quali ad esempio black-out, incendio, terremoto etc.) in grado di condizionare direttamente l’operatività dei sistemi informatici.

 

Incidente di sicurezza e data breach: sono la stessa cosa?

Anche se i due termini possono sembrare simili e qualcuno tende ad usarli come sinonimi, è importante distinguerli e classificarli correttamente, in considerazione del fatto che, a seconda dei casi, per le aziende possono derivare obblighi normativi differenti.

La violazione di sicurezza dei dati personali (c.d. data breach) rappresenta una particolare tipologia di incidente di sicurezza che, avendo a oggetto informazioni di natura personale, può comportare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, è soggetta alla disciplina del Regolamento generale per la protezione dei dati personali n. 679/2016 (GDPR).

Ne consegue che per tale tipologia di violazione possono innescarsi gli obblighi di notifica di cui agli artt. 33 e 34 del GDPR secondo cui l’azienda deve valutare, in un arco temporale ristretto, la necessità di notificare l’incidente all’autorità di supervisione e agli interessati, nonché di adottare le correlate azioni di rimedio per la mitigazione degli effetti.

Diversamente, le violazioni non riconducibili alla sfera dei dati personali sono soggette a differenti obblighi di notifica previsti da ulteriori normative (quali ad esempio il Regolamento UE n. 910/2014 c.d. “eIDAS” ed il D.Lgs. n. 65/2018 che ha recepito la c.d. Direttiva “NIS”).

In definitiva, è possibile affermare che se tutte le violazioni dei dati personali sono incidenti di sicurezza non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali.

 

Come prevenire e gestire un incidente di sicurezza?

Una risposta intelligente e coordinata a un incidente di sicurezza permette di ridurre potenziali danni, ripristinare le normali operazioni all’interno di limiti temporali definiti e tutelare la reputazione dell’organizzazione colpita.

Le attività preventive volte a scongiurare il verificarsi di un incidente di sicurezza richiedono, tra le altre cose, la periodica valutazione dei rischi e la definizione di adeguate misure di tipo tecnologico, fisico e organizzativo all’interno dell’azienda.
A tal fine è importante è importante tenere presente le migliori pratiche internazionali con riguardo ai requisiti di sicurezza e di qualità dei sistemi di gestione delle informazioni, quali ad esempio gli standard ISO/IEC 27001, ISO 27701 e ISO/IEC 27040.

In quest’ottica, è buona prassi per le organizzazioni adottare una policy di Incident Response volta definire le regole generali per prevenzione e la risposta agli incidenti mediante l’individuazione di strutture organizzative adeguate, nonché disegnare e attuare idonei meccanismi operativi per prevenire, rilevare e gestire gli incidenti di sicurezza.

Un adeguato processo di gestione degli incidenti di sicurezza si struttura nelle seguenti dimensioni:

  • rilevazione degli incidenti volta al monitoraggio ed all’identificazione di eventuali anomalie;
  • analisi degli incidenti, da parte del team preposto volta a diagnosticare e a classificare l’evento;
  • contenimento degli effetti degli incidenti, per la definizione della migliore strategia in funzione dei diversi fattori e della categoria d’attacco;
  • ripristino delle normali operazioni, in un’ottica di resilienza dell’organizzazione;
  • ottimizzazione dei processi operativi, sulla base di quello che si apprende dai diversi incidenti

I processi di gestione degli incidenti di sicurezza costituiscono un tassello del più generale piano di continuità operativa aziendale, volto a garantire il proseguimento delle attività aziendali a fronte di qualsivoglia evento che possa integrare discontinuità nei processi interni o nei rapporti con le terze parti.

Condividi

Condividi

Tommaso Stranieri

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche