Data breach, come monitorare i rischi per le aziende
7 Dicembre 2020 in Governance Risk & Compliance As a Service - GRC360
Il Garante per la protezione dei dati personali indica come data breach, “la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali” che può comprometterne la riservatezza, integrità o disponibilità.
Le aziende, per mettersi al riparo dai rischi derivanti da data breach – che nel caso non vengano gestiti in maniera adeguata possono anche comportare, in base al regolamento europeo GDPR, sanzioni fino al 4% del fatturato – devono innanzi tutto monitorarli e mettere in atto le azioni per ridurne al minimo l’accadimento.
Le organizzazioni dovranno dunque individuare le potenziali minacce e stimare la probabilità che si realizzino senza azioni di contrasto. Per esempio, nel caso in cui un’azienda fosse sotto attacco malware, in assenza di antivirus, ci sarebbe la quasi certezza che l’infezione prenda piede, mentre installando un antivirus la probabilità diventa medio-bassa.
Successivamente, si procede a calcolare l’impatto che l’eventuale data breach potrebbe provocare in termini di perdita di riservatezza, integrità e disponibilità dei dati personali.
Data breach, l’impatto dipende dal punto di vista
Come stabilito dal GDPR, in caso di data breach, vanno valutati i possibili impatti sui “diritti e le libertà degli interessati”. Ciò significa che una violazione di dati che coinvolge, ad esempio, il furto di progetti aziendali riservati, pur avendo un impatto notevole sul business, non è così rilevante in ottica GDPR. Invece, un data breach di dati sanitari in una struttura ospedaliera, pur non compromettendo l’operatività aziendale, ha un impatto significativo in termini di “diritti e libertà degli interessati”.
In ogni caso, va determinata una scala di misura degli impatti per gli interessati il più possibile oggettiva per determinare il rischio, calcolato come: Rischio = Impatto x Probabilità.
Per valutare quale sia il rischio residuo accettabile si dovrà considerare il cosiddetto risk appetite, ossia la propensione al rischio dell’organizzazione. Si valuterà a questo punto se le misure già implementate per mitigare il rischio, sia quelle di tipo tecnico che quelle di tipo organizzativo, sono sufficienti per far rientrare l’evento nella fascia di accettabilità o se vanno messe in atto ulteriori azioni di mitigazione.
Per valutare la gestione della protezione da questi rischi è consigliabile fare riferimento a standard internazionali basandosi su librerie di minacce aggiornate e, al tempo stesso, di misure di protezione, come ad esempio ISO 27001, NIST Cybersecurity Framework e, per GDPR, le linee guida di ENISA sulla sicurezza dei dati personali.
Una novità introdotta dal GDPR è il tema dei costi per prevenire il rischi derivanti da data breach: a parità di tipologia e quantità di dati e di rischi, è prevista una gestione diversa e differenti investimenti da parte di organizzazioni di dimensioni e capacità economica diverse.
Un frame aziendale che integri diversi rischi di data breach
In ottica GDPR, si dovrà valutare il rischio in relazione all’impatto sui diritti e la libertà degli interessati, mentre, in ottica di tutela aziendale, il rischio sarà commisurato ai danni per il business e, tendenzialmente, quantificato in termini di costi. Un data breach che coinvolge, ad esempio, i disegni Cad dei macchinari prodotti dall’azienda e che, in ottica aziendale, può generare un danno economico ingente, non sarà rilevante in ottica GDPR.
Per evitare il moltiplicarsi di documenti aziendali con diverse valutazioni dei rischi di data breach relativi agli stessi oggetti, è opportuno assegnare a ogni specialista di sicurezza e protezione dei dati (CISO, DPO) la responsabilità di valutare i rischi rispetto al suo ambito di competenza, per realizzare alla fine un unico documento di analisi dei rischi, trasversale alle diverse aree.
Data breach, monitoraggio continuo
In sintesi, per monitorare i rischi vanno previsti un modello organizzativo e politiche aziendali, procedure e manuali su come si applica e chi deve fare cosa, mentre l’efficacia va misurata attraverso cicli di audit e verifiche periodiche o al verificarsi di eventi predefiniti.
Poiché, nonostante tutte le precauzioni i possibili incidenti si verificheranno, a valle serve una revisione per individuare le cause dell’incidente e capire se quanto accaduto rientra nel rischio residuo accettato o se è necessario attuare ulteriori azioni.
P4I – Partners4Innovation